Выполнение произвольных команд в DokuWiki

Дата публикации:
03.10.2006
Дата изменения:
01.06.2009
Всего просмотров:
2716
Опасность:
Высокая
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2006-5098
CVE-2006-5099
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
DokuWiki
Уязвимые версии: DokuWiki

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании или выполнить произвольные команды на целевой системе.

Уязвимость существует из-за ошибки при обработке входных данных в параметрах "w" и "h" в сценарии lib/exec/fetch.php. Удаленный пользователь может указать слишком большое число и потребить все доступные процессорные ресурсы на системе, или указать специально сформированную строку и выполнить произвольные команды на целевой системе. Пример:

http://[host]/test/_media/test.jpg?w=10000&cache=cache

URL производителя: wiki.splitbrain.org/wiki:dokuwiki

Решение: Установите последнюю версию с сайта производителя.

Ссылки: FS#924 — Image resize DOS-Attack in fetch.php
FS#926 — Codeinjection in fetch.php

или введите имя

CAPTCHA