Security Lab

Раскрытие данных и загрузка файлов в Ansilove

Дата публикации:20.02.2006
Всего просмотров:1522
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2006-0694
CVE-2006-0695
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Раскрытие системных данных
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Ansilove 1.x
Уязвимые версии: Ansilove версии до 1.03

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным и скомпрометировать уязвимую систему.

1. Уязвимость существует из-за отсутствия проверки входных данных в load_*.php сценариях. Удаленный пользователь может просмотреть произвольные файлы на системе.

2. Уязвимость существует из-за отсутствия проверки имен загруженных файлов. Удаленный пользователь может загрузить и выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

URL производителя: ansilove.sourceforge.net

Решение: Установите последнюю версию (1.03) с сайта производителя.

Источник:

Ссылки: Release Name: 1.03