Удаленный административный доступ в Litecommerce
- Дата публикации:
- 27.07.2004
- Всего просмотров:
- 1129
- Опасность:
- Высокая
- Наличие исправления:
- Количество уязвимостей:
- 1
- CVSSv2 рейтинг:
- CVE ID:
- Нет данных
- Вектор эксплуатации:
- Воздействие:
- CWE ID:
- Нет данных
- Наличие эксплоита:
- Нет данных
- Уязвимые продукты:
Уязвимые версии: Litecommerce 2.0.0
Описание: Уязвимость в Litecommerce позволяет удаленному пользователю вызвать инсталляционный сценарий чтобы получить административный доступ к некоторым сайтам.
По умолчанию, программа не удаляет 'install.php' инсталляционный файл на сервере после инсталляции. Удаленный пользователь может загрузить этот файл чтобы изменить пароль администратора. Пример:
http://[target]/install.php http://[target]/path_to_shop/in stall.php
URL производителя:http://www.litecommerce.com/products.html
Решение:Удалите сценарий 'install.php' после инсталляции.
Ссылки:
Fwd: posible bug in litecommerce shopping cart