PHP FirstPost存在路径泄露漏洞

　 　受影响系统：

　　 PHP FirstPost PHP FirstPost 0.1

　　 描述：

　　BUGTRAQ ID: 4274

　　CVE(CAN) ID: CVE-2002-0445

　　PHP FirstPost是一款PHP WEB日志程序，包含一个开放的提议队列和评估系统。

　　PHP FirstPost对不存在的页面请求处理不正确，可导致wwwroot目录 路径泄露。

　　远程 用户可以提交一个不存在的页面给PHP FirstPost服务程序，使BPHP FirstPost返回错误信息并显示wwwroot目录的绝对路径。

　　此信息泄露可帮助攻击者进一步对系统进行攻击。

　　<*来源：Ahmet Sabri ALPER ([email protected])

　　链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0117.html

　　*>

　　 建议：

　　临时解决方法：

　　如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

　　* 设置HTTP认证，确信只有合法用户才能访问程序。

　　 厂商补丁：

　　PHP FirstPost

　　-------------

　　目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

　　http://sourceforge.net/projects/phpfirstpost/