Удаленное выполнение произвольных команд в paFileDB

Дата публикации:
30.07.2003
Всего просмотров:
795
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
paFileDB 3.x
Описание: Уязвимость обнаружена в paFileDB. Удаленный пользователь может подгрузить произвольные файлы и затем выполнить эти файлы через Web интерфейс.

Сценарий "/includes/team/file.php" не проверяет, имеет ли удаленный пользователь действительную сессию. В результате удаленный пользователь может представить POST запрос, чтобы загрузить файл, содержащий произвольный PHP код. Затем, удаленный пользователь может представить запросить этот файл через Web, чтобы выполнить произвольный PHP код, включая команды операционной системы, с привилегиями web сервера.

Уязвимость обнаружена в paFileDB 3.1 и более ранние версии

Для устранения уязвимости, установите соответствующее обновление, которое можно скачать отсюда:

http://forums.phparena.net/index.php?act=ST&f=26&t=2170

Ссылки: paFileDB 3.1

или введите имя

CAPTCHA