微点交流论坛

标题: p.mapper "_SESSION[PM_INCPHP]"文件包括时的错误 [打印本页]

作者: pioneer 时间: 2007-12-10 09:42 标题: p.mapper "_SESSION[PM_INCPHP]"文件包括时的错误

来源

secunia.com

软件名

p.mapper 3.x

描述

这可被恶意泄漏敏感信息或危害有漏洞的系统
incphp/globals.php中输入的"_SESSION[PM_INCPHP]"参数在包含文件前没有被准确过滤，这可从本地或外部资源中包含任意文件

成功执行需要"register_globals"可用

该漏洞在V3.1.1中已经确认，其它版本可能也受到影响

解决方案

编辑源代码确保输入参数被充分过滤

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn