VULHUB ™

PHPprojekt是一款免费开放源代码的PHP组件程序包、包括日历、项目管理、时间卡系统、文件管理、联系人管理、邮件客户端和其他9项模块。运行在多种Linux和Unix系统平台下，也可运行在Microsoft Windows操作系统下。 PHPprojekt在文件管理模块下存在漏洞，远程攻击者可以通过提交包含远程主机上的脚本代码进行攻击。 攻击者可以通过直接访问文件管理模式和并指定模块包含远程攻击者控制主机下建立的任意文件进行攻击，如果远程包含的文件是PHP脚本，此脚本将被系统执行。问题存在于filemanager/filemanager_forms.php的第一行： include_once(\"$lib_path/access_form.inc.php\"); 攻击者可能利用此漏洞以httpd的权限在目标系统执行任意命令。 能否成功利用此漏洞依靠主机系统上的php配置，如果php.ini中的\'\'all_url_fopen\'\'选项被设置成\'\'off\'\'，此攻击将失败。

PHPprojekt是一款免费开放源代码的PHP组件程序包、包括日历、项目管理、时间卡系统、文件管理、联系人管理、邮件客户端和其他9项模块。运行在多种Linux和Unix系统平台下，也可运行在Microsoft Windows操作系统下。 PHPprojekt在文件管理模块下存在漏洞，远程攻击者可以通过提交包含远程主机上的脚本代码进行攻击。 攻击者可以通过直接访问文件管理模式和并指定模块包含远程攻击者控制主机下建立的任意文件进行攻击，如果远程包含的文件是PHP脚本，此脚本将被系统执行。问题存在于filemanager/filemanager_forms.php的第一行： include_once(\"$lib_path/access_form.inc.php\"); 攻击者可能利用此漏洞以httpd的权限在目标系统执行任意命令。 能否成功利用此漏洞依靠主机系统上的php配置，如果php.ini中的\'\'all_url_fopen\'\'选项被设置成\'\'off\'\'，此攻击将失败。