Удаленное выполнение команд в YaPiG 0.92b

Дата публикации:
19.08.2004
Всего просмотров:
787
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: YaPiG 0.92b

Описание: Уязвимость в YaPiG позволяет удаленному пользователю выполнить команды операционной системы на целевой системе.

Сценарии 'add_comments.php' и 'functions.php' не проверяют данные, представленные пользователем. Удаленный пользователь может послать специально обработанные данные, чтобы создать произвольный файл с произвольным расширением и произвольным содержанием. Удаленный пользователь может эксплуатировать эту уязвимость, чтобы загрузить PHP файл и затем заставить Web сервер выполнить PHP код.

URL производителя:http://yapig.sourceforge.net/

Решение:Неофициальное исправление см. в источнике сообщения.

Ссылки: [Full-Disclosure] YaPiG 0.92b add_coment PHP Insertion Proof of Concept

или введите имя

CAPTCHA