PHP-инклюдинг в Fantastic News

Дата публикации:
04.01.2007
Дата изменения:
04.01.2007
Всего просмотров:
1906
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Fantastic News 2.x
Уязвимые версии: Fantastic News 2.1.4, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "CONFIG[script_path]" в сценариях archive.php и headlines.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Пример:

http://[host]/[path]/archive.php?CONFIG[script_path]=[file]
http://[host]/[path]/headlines.php?CONFIG[script_path]=[file]

URL производителя: fscripts.com/free.php?id=1

Решение: Установите последнюю версию (2.1.5) с сайта производителя.

или введите имя

CAPTCHA