Security Lab

Удаленное выполнение произвольных команд в PhpDig

Дата публикации:18.01.2004
Всего просмотров:1482
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: PhpDig 1.x
Уязвимые версии: PhpDig 1.6.5

Описание: Уязвимость обнаружена в PhpDig. Удаленный пользователь может выполнить произвольные команды на целевой системе.

Уязвимость включения файла обнаружена в 'includes/config.php/ в переменной $relative_script_path. Удаленный пользователь может определить удаленное местоположение для этой переменной, чтобы включить произвольный файл, который будет выполнен на целевом сервере с привилегиями Web сервера. Программа включает без проверки следующие файлы:

$relative_script_path/locales/$phpdig_language-language.php
$relative_script_path/locales/$phpdig_language-language.php
$relative_script_path/loca les/en-language.php
$relative_script_path/libs/phpdig_functions.php
$relative_script_path/libs/function_phpdig_form.php
$relative_script_path/libs/mysql_functions.php

URL производителя:http://phpdig.net/showthread.php?s=783cb331ff7333b423ba11da299e4033&threadid=393

Решение: Установите обновленную версию программы: http://phpdig.net/showthread.php?s=783cb331ff7333b423ba11da299e4033&threadid=393

Ссылки: PhpDig 1.6.x: remote command execution