Security Lab

Инклюдинг локальных файлов в cPanel Fantastico De Luxe

Дата публикации:17.09.2008
Всего просмотров:2016
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Раскрытие системных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Fantastico De Luxe 2.x (модуль к cPanel)
Уязвимые версии: Fantastico De Luxe (модуль к cPanel) версии до 2.10.4 r19

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "fantasticopath" в сценарии includes/xml.php. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе. Для успешной эксплуатации уязвимости, атакующий должен иметь действительные учетные данные в приложении и опция "cPanel PHP Register Globals" в WHM's Tweak Settings должна быть включена.

URL производителя: www.netenberg.com/fantastico.php

Решение: Установите последнюю версию 2.10.4 r19 с сайта производителя.

Ссылки: http://www.netenberg.com/forum/index.php?topic=6768.0