Удаленное выполнение произвольного PHP кода в форуме XOOPS

Дата публикации:19.06.2003
Всего просмотров:1263
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Tutorials 2.x (модуль к XOOPS)
Описание: Уязвимость обнаружена в форуме XOOPS  в модуле "Tutorials". Удаленный пользователь, способный загружать картинки, может выполнить произвольный код на системе.

Модуль Tutorials позволяет удаленному пользователю, способному загружать изображения на сервер, может загрузить произвольный код ( типа PHP сценария). Затем, удаленный пользователь может выполнить этот код с привилегиями Web сервера.

Уязвимость обнаружена в XOOPS Forum Tutorials 2.0

Для устранения уязвимости, установите обновленную версию программы, которую можно скачать отсюда:

http://www.mytutorials.info/modules/mydownloads/visit.php?lid=12

 

Ссылки: Directory traversal vulnerability on Xoops/E-xoops CMS module "tutorials"