»нъекци€ функций в TikiWiki

ƒата публикации:
12.10.2007
ƒата изменени€:
13.10.2007
¬сего просмотров:
27195
ќпасность:
¬ысока€
Ќаличие исправлени€:
ƒа
 оличество у€звимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-5423
CVE-2007-5682
¬ектор эксплуатации:
”даленна€
¬оздействие:
 омпрометаци€ системы
CWE ID:
Ќет данных
Ќаличие эксплоита:
Ќет данных
”€звимые продукты:
Tikiwiki 1.x
”€звимые версии: TikiWiki 1.9.8, возможно более ранние версии

ќписание:
”€звимость позвол€ет удаленному пользователю скомпрометировать целевую систему.

”€звимость существует из-за недостаточной обработки входных данных в параметре "f" в сценарии tiki-graph_formula.php. ”даленный пользователь может выполнить произвольные PHP функции на целевой системе. ѕример:

http://[host]/tikiwiki/tiki-graph_formula.php?w=1&h=1&s=1&min=1&max=2&f[]=x.tan.phpinfo()&t=png&title=

URL производител€: tikiwiki.org

–ешение: ”становите последнюю версию с сайта производител€.

—сылки: TikiWiki <= 1.9.8 tiki-graph_formula.php Command Execution Exploit

или введите им€

CAPTCHA