Выполнение произвольных команд в 'PHP ping'

Дата публикации:
11.03.2003
Всего просмотров:
983
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PHP Ping 0.x
Описание: Уязвимость в проверке правильности ввода обнаружена в 'PHP ping' сценарии. Удаленный пользователь может выполнить команды операционный системы на уязвимом сервере.

Сценарий пропускает данные, представленные пользователем к exec() функции без надлежащей проверки. Удаленный пользователь может сконструировать специальный URL, который выполнит произвольные команды с привилегиями Web сервера. Пример:

http://[target]/phpping/index.php?pingto=www.security-corp.org%20|%20dir
Уязвимость обнаружена в 'PHP ping' 0.1

Ссылки: Remote Command Execution Vulnerability in PHP Ping
или введите имя

CAPTCHA