由于attachment mod用户接口不充分过滤文件名数据,通过HTTP POST,注入包含多个'../'字符的文件名,可绕过WEB ROOT限制,以用户进程权限查看系统文件内容
1)发起一个新贴,通过"Add Attachment"添加文件。
2)在点击发送前,查看源代码。
3)修改<FORM>表单值,把"attachment_list[]"和"filename_list[]"的值修改为"../../$newfilename",修改想查看的文件名。
4)然后发送。
建议:
厂商补丁:
phpBB Group
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载升级到Attachment module 2.3.11版本:
http://opentools.de/board/viewtopic.php?t=3590
1)发起一个新贴,通过"Add Attachment"添加文件。
2)在点击发送前,查看源代码。
3)修改<FORM>表单值,把"attachment_list[]"和"filename_list[]"的值修改为"../../$newfilename",修改想查看的文件名。
4)然后发送。
建议:
厂商补丁:
phpBB Group
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载升级到Attachment module 2.3.11版本:
http://opentools.de/board/viewtopic.php?t=3590