Security Lab

Удаленное выполнение команд в File Upload Manager

Дата публикации:18.10.2004
Всего просмотров:1383
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: File Upload Manager 1.3

Описание:
Обнаружены раскрытие установочной директории и выполнение произвольных команд в File Upload Manager.

Уязвимость существует из-за недостаточной фильтрации данных в файле '/fileupload/index.php'. Удаленный атакующий может изменить Content-Type или загрузить графический файл, который содержит злонамеренный код. Затем атакующий может запросить файл, который выполнит злонамеренный код.

Некоторые системы позволяют загрузку файлов с произвольного web-сервера. Если система не позволяет загрузку файлов таким образом будет выведена ошибка с указанием установочной директории.

URL производителя: webdev.mtnpeak.net/index.php?pg=php

Решение: Решение не существует на данный момент

Ссылки: File Upload Manager Lets Remote Users Execute Commands on the Target System