PHP иклюдинг в AzDGDatingLite

Дата публикации:
19.09.2005
Дата изменения:
17.10.2006
Всего просмотров:
1362
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: AzDGDatingLite 2.1.3 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на системе.

Уязвимость существует при обработке входных данных в параметре ‘l’ сценария /include/security.inc.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера. Пример:

http://[target]/[path]/azdg//include/security.inc.php?l=
../../../members/uploads/[subdir]/[filename.ext]%00
&cm d=cat%20/etc/passwd

URL производителей: www.azdg.com/scripts.php?l=english#1

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: AzDGDatingLite V 2.1.3 remote code execution

или введите имя

CAPTCHA