php инклюдинг и административный доступ в FlatNuke

Дата публикации:05.01.2005
Дата изменения:17.10.2006
Всего просмотров:917
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2005-0267
CVE-2005-0268
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: FlatNuke 2.x
Уязвимые версии: FlatNuke 2.5.1

Описание:
Уязвимость обнаружена в FlatNuke. Удаленный атакующий может получить административные привилегии и выполнить произвольный php сценарий на уязвимой системе.

Уязвимость существует из-за некорректной обработки данных в поле 'url_avatar' в сценарии 'index.php'. Удаленный атакующий может с помощью специально сформированного запроса получить административные привилегии.

Удаленный атакующий может выполнить произвольный php сценарий на уязвимой системе. Пример:

http://[target]/forum/users/$yourforumnickname.php?mantra=command_to_execute

URL производителя: http://www.flatnuke.org

Решение: Решение не существует на данный момент.

Ссылки: Multiple Vulnerabilities in Flat-nuke