发布日期：2007-11-30

更新日期：2007-12-03

受影响系统：

FTP Admin FTP Admin 0.1

描述：

BUGTRAQ ID: 26658

FTP Admin是结合vsFTPd、sudo、apache和PHP使用的用户管理工具。

c授权访问。

FTP Admin的index.php文件中没有正确地验证对page参数的输入，允许远程攻击者包含本地或外部FTP资源的任意文件。成功攻击要求有效的用户凭据。

index.php文件中没有正确地验证认证，远程攻击者无需拥有有效的用户凭据便可以通过将loggedin参数设置为true登录并添加新的FTP用户。成功攻击要求打开了register_globals。

如果page设置为error的话，index.php文件中没有正确地过滤对error参数的输入便返回给了用户，这可能导致在用户浏览器会话中执行任意HTML和脚本代码。

FTP Admin：目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://ftpadmin.sourceforge.net/