phpcms 2007网站管理系统list.php页面存在泄漏路径缺陷


添加时间:
2008-12-09

系统编号:
WAVDB-01257

影响版本:
phpcms 2007

程序介绍:

Phpcms是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站

漏洞分析:

在module/info/copy/list.php页面代码当中,我们可以发现

 
  1. <?php      
  2. require "./config.inc.php";    \\这里包含的文件没有导致暴路径。      
  3. require "../include/common.inc.php";      
  4. require PHPCMS_ROOT."/module/".$mod."/list.inc.php";      
  5. ?>    


解决方案:
厂商补丁:
PHPCMS 2007
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.phpcms.cn