Загрузка небезопасных файлов в XOOPS

Дата публикации:
11.03.2005
Всего просмотров:
1712
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: XOOPS 2.0.9.2

Описание:
Уязвимость позволяет удаленному авторизованному пользователю загрузить произвольные файлы на сервер.

Уязвимость существует в классе XoopsMediaUploader в сценарии 'uploader.php' из-за некорректной обработки расширений файлов. Удаленный авторизованный пользователь может загрузить валидный графический файл с расширением 'phtml' или 'php3' и затем выполнить его как php-сценарий на сервере.

Примечание: Для эксплуатации уязвимости требуется наличие прав на загрузку аватаров на сервер.

URL производителя: http://xoops.org

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: xoops 2.0.9.2 and below weak file extension validation

или введите имя

CAPTCHA