電子報發送系統PHPList遠端檔案包括漏洞及解決方法

電子報發送系統PHPList遠端檔案包括漏洞及解決方法

漏洞描述:
PHPlist是一款由PHP編寫的時事通信套用程式。
PHPlist由於不充分過濾使用者送出的請求,遠端攻擊者可以利用這個漏洞包括遠端伺服器上的惡意PHP檔案,以WEB權限執行。
目前沒有詳細漏洞細節提供。

解決方法:

若果您不能立刻安裝修改更新或是升級,NSFOCUS建議您採取以下措施以降低威脅:

* 若果使用Apache,使用.htaccess檔案限制"admin"目錄訪問:

<FilesMatch ".(php|inc)$">
Order allow,deny
deny from all
</FilesMatch>
<FilesMatch "index.php$">
Order allow,deny
allow from all
</FilesMatch>

廠商修改更新:
目前廠商已經發佈了升級修改更新以修復這個安全問題,請到廠商的首頁下載PHPlist versions 2.6.3或2.6.4:
http://www.phplist.com/