»нклюдинг локальных файлов в FarsiNews

ƒата публикации:
17.02.2006
ƒата изменени€:
17.10.2006
¬сего просмотров:
1305
ќпасность:
—редн€€
Ќаличие исправлени€:
ƒа
 оличество у€звимостей:
1
CVSSv2 рейтинг:
CVE ID:
Ќет данных
¬ектор эксплуатации:
”даленна€
¬оздействие:
–аскрытие важных данных
CWE ID:
Ќет данных
Ќаличие эксплоита:
Ќет данных
”€звимые продукты:
FarsiNews 2.x
”€звимые версии: FarsiNews 2.1, 2.5 и более ранние версии

ќписание:
”€звимость позвол€ет удаленному пользователю просмотреть произвольные файлы на системе.

”€звимость существует из-за недостаточной обработки входных данных в параметре "archive" сценари€ "index.php" и параметре "template" сценари€ "show_archives.php". ”даленный пользователь может с помощью специально сформированного URL просмотреть произвольные файлы на системе. ѕример:

http://victim/index.php?archive=/../users.db.php%00
http://victim/Farsi1/index.php?archive=/../[file-to-read]%00
http://victim/show_archives.php?template=/../../[local-file]%00

URL производител€: www.farsinewsteam.com

–ешение: ”становите последнюю версию (2.5.3) с сайта производител€.

»сточник:

—сылки: FarsiNews 2.5 Multiple Vulnerabilities

или введите им€

CAPTCHA