PHPWebThings直接访问脚本漏洞

受影响的系统:
phpDBform PhpWebThings 0.4

不受影响系统:
phpDBform PhpWebThings 0.41

描述:
--------------------------------------------------------------------------------


BUGTRAQ ID: 4013

PhpWebThings是一个用PHP脚本设计的WEB程序，它基于MySQL数据库，可以运行于大部分Windows、Linux/Unix操作系统。

一些版本的PhpWebThings存在一个漏洞，可以直接访问core/main.php。远程攻击者构造恶意的CGI参数直接访问这个脚本，可能会搅乱脚本的功能，甚至修改数据库查询语句。

<*来源：Peter Vreugdenhil
*>


--------------------------------------------------------------------------------
建议:

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在core/main.php的第二行加上以下代码：
if (strstr($PHP_SELF, "/core/")) die ("You can't access this file directly...");