发布日期：2012-02-07
更新日期：2012-02-07

受影响系统：

phpShowtime phpShowtime 2.x

描述：

---

CVE ID: CVE-2012-0981

phpShowtime是PHP图形库。

phpShowtime 2.0和其他版本传递到index.php的参数"r"的输入没有正确过滤，即被用于显示目录和图形文件，通过目录遍历序列，可泄露任意目录结构和图形文件。

<*来源：Red Security TEAM
  
  链接：http://secunia.com/advisories/47802
        http://xforce.iss.net/xforce/xfdb/72824
        http://www.exploit-db.com/exploits/18435/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Red Security TEAM （）提供了如下测试方法：
http://server/index.php?r=i/[Your Directory]
Example   : http://server/index.php?r=i/../../

建议：

---

厂商补丁：

phpShowtime
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://phpshowtime.kybernetika.de/

浏览次数：1887
严重程度：0（网友投票）