Инклюдинг локальных файлов в cPanel Fantastico De Luxe

Дата публикации:
17.09.2008
Всего просмотров:
1825
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Fantastico De Luxe 2.x (модуль к cPanel)
Уязвимые версии: Fantastico De Luxe (модуль к cPanel) версии до 2.10.4 r19

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "fantasticopath" в сценарии includes/xml.php. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе. Для успешной эксплуатации уязвимости, атакующий должен иметь действительные учетные данные в приложении и опция "cPanel PHP Register Globals" в WHM's Tweak Settings должна быть включена.

URL производителя: www.netenberg.com/fantastico.php

Решение: Установите последнюю версию 2.10.4 r19 с сайта производителя.

Ссылки: http://www.netenberg.com/forum/index.php?topic=6768.0