Ракрытие произвольных файлов в CGI SAPI в PHP 4.3.0
| Дата публикации: | 20.02.2003 |
| Всего просмотров: | 1232 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Уязвимость обнаружена в CGI SAPI в PHP 4.3.0. Удаленный пользователь может читать файлы на целевом сервере, которые доступны для чтения процессу Web сервера. Чтобы предотвратить прямой доступ к CGI файлам, используются опции "--enable-force-cgi-redirect" и "cgi.force_redirect" в php.ini. Однако в PHP 4.3.0 они не работают. Уязвимость позволяет удаленному пользователю рассматривать файлы на целевом сервере, которые доступны для чтения процессом Web сервера. В некоторых случаях, удаленный пользователь может также выполнить произвольный PHP код на целевом сервере, если удаленный пользователь может ввести PHP код в файлы, к которым в последствии может обратиться CGI (например, журналы Web сервера). Согласно сообщению, недостаток не затрагивает никакие другие SAPI модули. Уязвимость обнаружена в PHP 4.3.0 |
| Ссылки: | PHP Security Advisory: CGI vulnerability in PHP version 4.3.0 |