Удаленное выполнение произвольных команд в PhpDig

Дата публикации:
18.01.2004
Всего просмотров:
1190
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PhpDig 1.x
Уязвимые версии: PhpDig 1.6.5

Описание: Уязвимость обнаружена в PhpDig. Удаленный пользователь может выполнить произвольные команды на целевой системе.

Уязвимость включения файла обнаружена в 'includes/config.php/ в переменной $relative_script_path. Удаленный пользователь может определить удаленное местоположение для этой переменной, чтобы включить произвольный файл, который будет выполнен на целевом сервере с привилегиями Web сервера. Программа включает без проверки следующие файлы:

$relative_script_path/locales/$phpdig_language-language.php
$relative_script_path/locales/$phpdig_language-language.php
$relative_script_path/loca les/en-language.php
$relative_script_path/libs/phpdig_functions.php
$relative_script_path/libs/function_phpdig_form.php
$relative_script_path/libs/mysql_functions.php

URL производителя:http://phpdig.net/showthread.php?s=783cb331ff7333b423ba11da299e4033&threadid=393

Решение: Установите обновленную версию программы: http://phpdig.net/showthread.php?s=783cb331ff7333b423ba11da299e4033&threadid=393

Ссылки: PhpDig 1.6.x: remote command execution

или введите имя

CAPTCHA