PHP-инклюдинг в продуктах WebBiscuits
| Дата публикации: | 03.10.2008 |
| Дата изменения: | 06.10.2008 |
| Всего просмотров: | 2039 |
| Опасность: | Высокая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
WebBiscuits Blog 1.x
WebBiscuits Contact Form 1.x WebBiscuits Customer Helpdesk 1.x WebBiscuits eCommerce 1.x WebBiscuits Excel Importer/Exporter 1.x WebBiscuits Events Calendar 1.x WebBiscuits FAQ Support 1.x WebBiscuits Forum 1.x WebBiscuits Guestbook 1.x WebBiscuits Form Designer 1.x WebBiscuits Links Directory 1.x WebBiscuits Misc Tools 1.x WebBiscuits News Publisher 1.x WebBiscuits Newsletter 1.x WebBiscuits Photo Galleries 1.x WebBiscuits Vote Caster 1.x |
| Уязвимые версии: WebBiscuits Blog 1.x WebBiscuits Contact Form 1.x WebBiscuits Customer Helpdesk 1.x WebBiscuits eCommerce 1.x WebBiscuits Events Calendar 1.x WebBiscuits Excel Importer/Exporter 1.x WebBiscuits FAQ Support 1.x WebBiscuits Form Designer 1.x WebBiscuits Forum 1.x WebBiscuits Guestbook 1.x WebBiscuits Links Directory 1.x WebBiscuits Misc Tools 1.x WebBiscuits News Publisher 1.x WebBiscuits Newsletter 1.x WebBiscuits Photo Galleries 1.x WebBiscuits Vote Caster 1.x Описание: Уязвимость существует из-за недостаточной обработки входных данных в параметрах "path[docroot]" и "component" в сценарии common/theme/default/header_setup.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Для удачной эксплуатации уязвимости опция "register_globals" должна быть включена в конфигурационном файле PHP. URL производителя: www.webbiscuits.com/ Решение: Способов устранения уязвимости не существует в настоящее время. |
|
| Ссылки: | http://packetstorm.linuxsecurity.com/0809-exploits/eventscal-rfi.txt |