電子報發送系統PHPList遠端檔案包括漏洞及解決方法

電子報發送系統PHPList遠端檔案包括漏洞及解決方法

漏洞描述：
PHPlist是一款由PHP編寫的時事通信套用程式。
PHPlist由於不充分過濾使用者送出的請求，遠端攻擊者可以利用這個漏洞包括遠端伺服器上的惡意PHP檔案，以WEB權限執行。
目前沒有詳細漏洞細節提供。

解決方法：

若果您不能立刻安裝修改更新或是升級，NSFOCUS建議您採取以下措施以降低威脅：

* 若果使用Apache，使用.htaccess檔案限制"admin"目錄訪問：

<FilesMatch ".(php|inc)$">
Order allow,deny
deny from all
</FilesMatch>
<FilesMatch "index.php$">
Order allow,deny
allow from all
</FilesMatch>

廠商修改更新：
目前廠商已經發佈了升級修改更新以修復這個安全問題，請到廠商的首頁下載PHPlist versions 2.6.3或2.6.4：
http://www.phplist.com/