McNews install.php远程任意文件包含漏洞

发布日期：2005-03-18
更新日期：2005-03-18

受影响系统：

McNews McNews 1.3
McNews McNews 1.2
McNews McNews 1.1 a
McNews McNews 1.1
McNews McNews 1.0

描述：

---

BUGTRAQ ID: 12835
CVE(CAN) ID: CVE-2005-0800

mcNews是一套允许用户在WEB上张贴新闻的脚本系统，可运行在Linux和Unix操作系统上，也可运行在Microsoft Windows操作系统下。

mcNews中存在远程文件包含漏洞，漏洞的起因是应用程序无法正确的过滤用户对install.php脚本所提供的输入，这样攻击者就可以在输入中包含任意文件，导致跨站脚本等攻击。

有漏洞的代码如下：
-----------------------------------

--> admin/install.php
...
33 if ($table==1)
34 {
35 include($l);
36 echo '<a href="index.php">'.$lGoAdmin.'</a>';
37 }
...

仅在本地站点的PHP配置中同时启用了allow_url_fopen和register_globals时才可能利用这个漏洞。

<*来源：Jonathan Whiteley （jon.whiteley@gmail.com）

链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111108900102438&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 安装了应用程序后就不再需要install.php脚本，可将其删除。但目前仍未确认这个临时处理方法。

厂商补丁：

McNews
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpforums.net/mcNewsEN.html

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!