Обход каталога в phpPgAdmin

Дата публикации:	11.07.2005
Дата изменения:	09.12.2008
Всего просмотров:	1338
Опасность:	Средняя
Наличие исправления:	Да
Количество уязвимостей:	1
CVE ID:	CVE-2005-2256
Вектор эксплуатации:	Удаленная
Воздействие:	Раскрытие важных данных Раскрытие системных данных
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	phpPgAdmin 3.x
	Уязвимые версии: phpPgAdmin 3.5.3 и более ранние версии Описание: Уязвимость позволяет удаленному пользователю просмотреть произвольные файлы ан системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре 'formLanguage'. Удаленный пользователь может с помощью специально сформированного запроса просмотреть произвольные файлы на системе с привилегиями web сервера. Для успешной эксплуатации уязвимости опция "magic_quotes_gpc" должна быть отключена в конфигурационном файле PHP. Пример: formUsername=username&formPassword=password&formServer=0 &formLanguage=%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e% 2f%2e%2e%2f%2e%2e%2f%2e%2e%2f/etc/passwd%00&submitLogin=Login URL производителя: phppgadmin.sourceforge.net Решение: Установите последнюю версию 3.5.4 с сайта производителя. Журнал изменений: 09.12.2008 Изменено описание уязвимости.

Обход каталога в phpPgAdmin

Подпишитесь на email рассылку