Ракрытие произвольных файлов в CGI SAPI в PHP 4.3.0

Дата публикации:
20.02.2003
Всего просмотров:
940
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в CGI SAPI в PHP 4.3.0. Удаленный пользователь может читать файлы на целевом сервере, которые доступны для чтения процессу Web сервера.

Чтобы предотвратить прямой доступ к CGI файлам, используются опции "--enable-force-cgi-redirect" и "cgi.force_redirect" в php.ini. Однако в PHP 4.3.0 они не работают.

Уязвимость позволяет удаленному пользователю рассматривать файлы на целевом сервере, которые доступны для чтения процессом Web сервера. В некоторых случаях, удаленный пользователь может также выполнить произвольный PHP код на целевом сервере, если удаленный пользователь может ввести PHP код в файлы, к которым в последствии может обратиться CGI (например, журналы Web сервера).

Согласно сообщению, недостаток не затрагивает никакие другие SAPI модули.

Уязвимость обнаружена в PHP 4.3.0

Ссылки: PHP Security Advisory: CGI vulnerability in PHP version 4.3.0

или введите имя

CAPTCHA