Admanager — система управления баннерами, написанная
на PHP.

Доступ к сценарию ‘add.php3’ не требует аутентификации. Уязвимость позволяет удаленному атакующему манипулировать URL параметрами этого сценария и изменять содержание баннерной системы.

Пример:

http://target/add.php3?url=http://www.url.com&adurl=http://URL/img.gif
URL/

Уязвимость обнаружена в Admanager 1.1.

Оставить мнение