Создание произвольных файлов в Open Flash Chart
| Дата публикации: | 23.12.2009 |
| Дата изменения: | 07.10.2013 |
| Всего просмотров: | 3009 |
| Опасность: | Высокая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVSSv2 рейтинг: | 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:U/RC:C) |
| CVE ID: | CVE-2009-4140 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Open Flash Chart 2.x |
Уязвимые версии: Open Flash Chart 2, возможно другие версии Описание: Уязвимость существует из-за недостаточной проверки расширений файлов и их содержимого перед сохранением файлов в параметрах "name" и "HTTP_RAW_POST_DATA" в сценарии php-ofc-library/ofc_upload_image.php. Удаленный пользователь может создать файлы с расширением PHP и выполнить произвольный код на целевой системе с привилегиями Web сервера. URL производителя: teethgrinder.co.uk/open-flash-chart-2/ Решение: Способов устранения уязвимости не существует в настоящее время. |
|
| Ссылки: | http://piwik.org/blog/2009/10/piwik-response-to-secunia-advisory-sa37078/ |
| Журнал изменений: | a:2:{s:4:"TEXT";s:37:"07.10.2013 - добавлены CVSSv2 метрики";s:4:"TYPE";s:4:"html";} |