PHPAdsNew远程执行任意代码漏洞

phpAdsNew是用PHP开发的WEB站点Banner管理程序。 phpAdsNew存在一个安全漏洞，允许远程攻击者以Web Server进程所拥有的权限在系统上执行任意代码。 该程序使用了一个变量$phpAdspath，远程用户可以指定该变量的值，但是phpAdsNew未对用户输入进行适当的检查。通过精心构造URL请求，远程攻击者可以使受影响的phpAdsNew执行位于第三方主机上的任意PHP程序。 phpAdsNew phpAdsNew 2.0beta 6 临时解决方法： Niels Leenheer （ [email protected] ） 提供了如下的修补方法：...