Security Lab

Выполнение произвольного кода в phpLinks

Дата публикации:24.01.2003
Всего просмотров:699
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: phpLinks (phplinks.sourceforge.net) – бесплатный PHP сценарий для организации каталога ссылок.

По сообщениям, сценарий 'include/add.php' позволяет удаленному атакующему включать файл и выполнять произвольный PHP код на уязвимом сервере с административными привилегиями.

Также в сценарии обнаружена уязвимость межсайтового скриптинга, позволяющая вставлять произвольный код сценария, который будет выполнен в контексте phpLinks сайта. Пример:

http://[target]/index.php?term=<script>alert(document.cookie)</script>
Уязвимость обнаружена в phpLinks 2.1.2
Ссылки: Multiple Vulnerabilties In PHPLinks