Выполнение произвольных команд в Joomla! JE Story Submit

Дата публикации:
27.01.2012
Дата изменения:
30.01.2012
Всего просмотров:
2086
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:U/RC:C) = Base:10/Temporal:8.5
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
JE Story Submit 1.x (component for Joomla!)
Уязвимые версии: JE Story Submit component for Joomla! 1.9.3, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за недостаточной обработки входных данных в функции "update()" в сценарии components/com_jesubmit/controllers/request_get.php. Удаленный пользователь может с помощью специально сформированного запроса подключить и выполнить произвольный PHP сценарий на целевой системе с привилегиями Web севера.

URL производителя: http://joomlaextensions.co.in/extensions/modules/je-content-menu.html?page=shop.product_details&flypage=flypage.tpl&product_id=78&category_id=13

Решение: Способов устранения уязвимости не существует в настоящее время.

или введите имя

CAPTCHA