PHPList遠端檔案包含漏洞

2021-12-29 16:22:33 字數 500 閱讀 1711

影響版本:

phplist 2.6.2

漏洞描述:

phplist是一款由php編寫的時事通訊應用程式。

phplist由於不充分過濾使用者提交的請求,遠端攻擊者可以利用這個漏洞包含遠端伺服器上的惡意php檔案,以web許可權執行。

michiel dethmers ([email protected]

*>

sebug安全建議:

臨時解決方法:

如果您不能立刻安裝補丁或者公升級,建議您採取以下措施以降低威脅:

* 如果使用apache,使用.htaccess檔案限制"admin"目錄訪問:

order allow,deny

deny from all

order allow,deny

allow from all

廠商補丁:

tincan ltd

----------

// sebug.net [2009-09-05]

檔案包含漏洞

簡單的來說,就是我們用乙個可控的變數作為檔名並以檔案包含的的方式呼叫了它,漏洞就產生了。以php為例檔案包含漏洞可以分為rfi 遠端檔案包含 和lfi 本地檔案包含漏洞 兩種。而區分他們最簡單的方法就是php.ini中是否開啟了allow url include。如果開啟了可能包含遠端檔案,如果不是...

檔案包含漏洞

1 什麼是檔案包含漏洞 檔案包含,包括本地檔案包含 locao file inclusion,lfi 和遠端檔案包含 remote file inclusion,rfi 兩種形式。首先,本地檔案包含就是通過瀏覽器引進 包含 web伺服器上的檔案,這種漏洞一般發生在瀏覽器包含檔案時沒有進行嚴格的過濾,...

檔案包含漏洞

直接執行 的函式 eval assert system exec shell exec passthru escapeshellcmd pcntl exec 等就不一一舉例了。1 eval eval 函式把字串按照 php 來計算,如常見的一句話後門程式 eval post cmd 2 assert...