PHP-инклюдинг в продуктах WebBiscuits

Дата публикации:
03.10.2008
Дата изменения:
06.10.2008
Всего просмотров:
1831
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
WebBiscuits Blog 1.x
WebBiscuits Contact Form 1.x
WebBiscuits Customer Helpdesk 1.x
WebBiscuits eCommerce 1.x
WebBiscuits Excel Importer/Exporter 1.x
WebBiscuits Events Calendar 1.x
WebBiscuits FAQ Support 1.x
WebBiscuits Forum 1.x
WebBiscuits Guestbook 1.x
WebBiscuits Form Designer 1.x
WebBiscuits Links Directory 1.x
WebBiscuits Misc Tools 1.x
WebBiscuits News Publisher 1.x
WebBiscuits Newsletter 1.x
WebBiscuits Photo Galleries 1.x
WebBiscuits Vote Caster 1.x
Уязвимые версии:
WebBiscuits Blog 1.x
WebBiscuits Contact Form 1.x
WebBiscuits Customer Helpdesk 1.x
WebBiscuits eCommerce 1.x
WebBiscuits Events Calendar 1.x
WebBiscuits Excel Importer/Exporter 1.x
WebBiscuits FAQ Support 1.x
WebBiscuits Form Designer 1.x
WebBiscuits Forum 1.x
WebBiscuits Guestbook 1.x
WebBiscuits Links Directory 1.x
WebBiscuits Misc Tools 1.x
WebBiscuits News Publisher 1.x
WebBiscuits Newsletter 1.x
WebBiscuits Photo Galleries 1.x
WebBiscuits Vote Caster 1.x

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах "path[docroot]" и "component" в сценарии common/theme/default/header_setup.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Для удачной эксплуатации уязвимости опция "register_globals" должна быть включена в конфигурационном файле PHP.

URL производителя: www.webbiscuits.com/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://packetstorm.linuxsecurity.com/0809-exploits/eventscal-rfi.txt

или введите имя

CAPTCHA