PHP-инклюдинг в fuzzylime (cms)
17 марта, 2008
Программа: fuzzylime (cms) 3.01, возможно другие версии.
Опасность: Высокая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "admindir" в сценарии code/display.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Для удачной эксплуатации уязвимости опция "register_globals" должна быть включена в конфигурационном файле PHP. Пример:
http://[host]/code/display.php?admindir=[file]
URL производителя: cms.fuzzylime.co.uk
Решение: Способов устранения уязвимости не существует в настоящее время.
Secunia ID:
29417
Security lab
| Друзья: Всё для вебмастера | [ Реклама на форуме ] |
|
|
| [ DDos Услуги. DDos атака. Заказать ДДос ] |
0
Fuzzylime (cms)
Автор
attacking_xxx
, 17 Mar 2008 20:08
Наверх
#2
Отправлено 17 March 2008 - 20:11
$iD
-
- root
-
- 3785 сообщений
Админ
Давай внимательней... потому что я тоже не робот...
перенес.
перенес.
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных
