Инклюдинг локальных файлов в продуктах BPowerHouse

Дата публикации:
09.12.2008
Всего просмотров:
1688
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-5593
CVE-2008-5594
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mini-Blog 1.x
Mini-CMS 1.x
Уязвимые версии:
Mini-CMS версия 1.0.1
Mini-Blog версия 1.0.1

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах "page" и "admin" в сценарии "index.php". Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе. Пример:

http://[host]/index.php?page=../../../../[file]%00
http://[host]/index.php?admin=../../../../[ file]%00

URL производителя: www.bpowerhouse.info

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://milw0rm.com/exploits/7375
http://milw0rm.com/exploits/7374