[转载]PHProjekt多个远程文件包含漏洞

信息来源：绿盟科技


PHProjekt多个远程文件包含漏洞

发布日期：2006-10-01
更新日期：2006-10-01

受影响系统：
PHPProjekt PHPProjekt 5.1.1
不受影响系统：
PHPProjekt PHPProjekt 5.1.2
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 20268

PHPProjekt是一款免费开放源代码PHP组件程序，由PHPProjekt Development Team开发和维护，可使用在Unix和Linux操作系统下，也可使用在Microsoft Windows操作系统下。

PHProjekt在处理用户请求时存在输入验证漏洞，远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令。

PHProjekt的多个脚本没有对lib_path及lang_path变量做充分的检查过滤，允许远程攻击者通过包含远程服务器上的任意文件导致执行任意代码。

<**>

建议：
--------------------------------------------------------------------------------
厂商补丁：

PHPProjekt
----------
目前厂商已经在5.1.2及以后版本的软件中修补了此漏洞，请到厂商的主页下载：

http://phprojekt.com/