»нклюдинг локальных файлов в PHP-Nuke Dance Music Module

ƒата публикации:
27.09.2007
¬сего просмотров:
7138
ќпасность:
—редн€€
Ќаличие исправлени€:
Ќет
 оличество у€звимостей:
1
CVSSv2 рейтинг:
CVE ID:
Ќет данных
¬ектор эксплуатации:
”даленна€
¬оздействие:
–аскрытие важных данных
–аскрытие системных данных
CWE ID:
Ќет данных
Ќаличие эксплоита:
Ќет данных
”€звимые продукты:
Dance Music 1.x (модуль к PHP-Nuke)
”€звимые версии: Dance Music (модуль к PHP-Nuke) 1.0, возможно более ранние версии.

ќписание:
”€звимость позвол€ет удаленному пользователю просмотреть содержимое произвольных файлов на системе.

”€звимость существует из-за ошибки проверки границ данных в параметре "ACCEPT_FILE[1]" в сценарии modules.php (когда параметр "page" установлен в значение "1"). ”даленный пользователь может с помощью специально сформированного запроса просмотреть содержимое произвольных файлов на системе. ѕример:

http://[host]/modules.php?name=Dance_Music-MM&page=1&ACCEPT_FILE[1]=../../../../[file]

URL производител€: www.multimedia.com.ro/downloads/music_sound.html

–ешение: —пособов устранени€ у€звимости не существует в насто€щее врем€.

или введите им€

CAPTCHA