Удаленное выполнение произвольного php кода в Discuz! Board 4.0.0 rc4

Дата публикации:
16.08.2005
Дата изменения:
22.08.2005
Всего просмотров:
1275
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Crossday Discuz! Board 2.x
Crossday Discuz! Board 3.x
Crossday Discuz! Board 4.x
Уязвимые версии: Discuz! Board 4.0.0 rc4 и более ранние версии

Описание: Уязвимость позволяет загрузить произвольны сценарий и выполнить его с правами Web сервера.

Программа не достаточно проверяет имена загружаемых файлов. Удаленный пользователь может загрузить файл с несколькими расширениями (например attach.php.php.php.php.rar) на целевую систему. Затем, удаленный пользователь может заставить Web сервер выполнить содержимое этого файла. В результате удаленный пользователь может выполнять произвольные команды на целевой системе с привилегиями целевого Web сервера.

URL производителя: http://www.discuz.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

или введите имя

CAPTCHA