PHP FirstPost存在路径泄露漏洞

漏洞信息详情

PHP FirstPost存在路径泄露漏洞

• CNNVD编号：CNNVD-200207-128
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0445
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-03-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-13
  
• 厂        商：
  
  php_firstpost
• 漏洞来源：
  Ahmet Sabri ALPER※…

PHP FirstPost是一款PHP WEB日志程序，包含一个开放的提议队列和评估系统。
PHP FirstPost对不存在的页面请求处理不正确，可导致wwwroot目录路径泄露。
远程用户可以提交一个不存在的页面给PHP FirstPost服务程序，使BPHP FirstPost返回错误信息并显示wwwroot目录的绝对路径。
此信息泄露可帮助攻击者进一步对系统进行攻击。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 设置HTTP认证，确信只有合法用户才能访问程序。
厂商补丁：
PHP FirstPost
————-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://sourceforge.net/projects/phpfirstpost/” target=”_blank”>
http://sourceforge.net/projects/phpfirstpost/

来源: BID
名称: 4274
链接:http://www.securityfocus.com/bid/4274

来源: BUGTRAQ
名称: 20020312 [ARL02-A05] PHP FirstPost System Information Path Disclosure Vulnerability
链接:http://www.securityfocus.com/archive/1/261337

来源: XF
名称: phpfirstpost-path-disclosure(8434)
链接:http://www.iss.net/security_center/static/8434.php

来源: OSVDB
名称: 7170
链接:http://www.osvdb.org/7170