phpcms 暴路径和删除任意文件漏洞
漏洞名称:phpcms 暴路径和删除任意文件漏洞
发布日期:2010-05-24
缺陷版本:phpcms2008sp4_UTF8_100510
安全综述:Phpcms 是国内领先的网站内容管理系统,同时也是一个开源的PHP开发框架。Phpcms 由内容模型、会员、问吧、专题、财务、订单、广告、邮件订阅、 短消息、自定义表单、全站搜索等20多个功能模块组成,内置新闻、图片、下载、信息、产品5大内容模型。Phpcms 采用模块化开发,支持自定义内容模型和会员模型,并且可以自定义字段。
漏洞描述:
Corpandresize/ui.php
$dirnames = dirname($query_string); //4行
$tmp = PHPCMS_ROOT.str_replace($PHPCMS['siteurl'],'',$dirnames).'/';
$tmp_url = str_replace($PHPCMS['siteurl'],'',$dirnames);
if(preg_match("/http:/",$tmp))
{
$tmp = PHPCMS_ROOT.UPLOAD_URL.date('Y').'/'.date('md').'/';
$tmp_url = UPLOAD_URL.date('Y').'/'.date('md');
dir_create($tmp);
}
setcookie('tmp',$tmp);
把本地路径保存在cookie中。
Corpandresize/process.php
$thumbfile = $_COOKIE['thumbfile']; //62行
if($thumbfile) @unlink(TMP_PATH.'/'.$thumbfile);
在图片剪切那里,先读取cookie中信息,然后直接删除文件,造成删除任意文件漏洞
测试方法:
1.注册普通会员账号
2.提交:http://www.phpcms.cn/corpandresize/ui.php http://www.phpcms.cn/uploadfile/2010/0524/20100524094447855.jpg
3.此时查看cookie信息
解决方案:等官方补丁或删除Corpandresize目录文件