Загрузка произвольных файлов в продуктах Alex

Дата публикации:
20.11.2008
Дата изменения:
20.11.2008
Всего просмотров:
1829
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Alex Article-Engine 1.x
Alex News-Engine 1.x
Уязвимые версии:
Article-Engine 1.3.0
News-Engine 1.5.1

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за недостаточного ограничения доступа к сценарию "admin/includes/FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php". Удаленный пользователь может загрузить произвольные PHP сценарии с расширением .pht или несколькими расширениями на систему и выполнить их с привилегиями Web сервера. Для успешной эксплуатации уязвимости требуется определенная конфигурация Web сервера (например, модуль "mod_mime" к Web серверу Apache).

URL производителя: www.alexscriptengine.de

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://milw0rm.com/exploits/7157
http://milw0rm.com/exploits/7158

или введите имя

CAPTCHA