Программа: phpGroupWare до версии 0.9.14.007
Несколько уязвимостей обнаружено в phpGroupWare. Удаленный пользователь может внедрить SQL команды. Удаленный авторизованный пользователь может загрузить PHP сценарий и выполнить его на целевом сервере.
Как сообщается, модули 'calendar' и 'infolog' не проверяют данные, представленные пользователем. В результате удаленный пользователь может представить специально обработанный запрос, чтобы выполнить произвольные SQL команды на основной базе данных.
Также сообщается, что модуль 'calendar' позволяет удаленному авторизованному пользователю загружать holiday файлы, содержащие произвольный PHP код, который затем может быть выполнен.
