Программа: vBulletin 3.0.5, 3.0.6

Уязвимость в vBulletin позволяет удаленному
пользователю выполнить произвольные
команды на уязвимой системе. Уязвимость
существует в сценарии forumdisplay.php из-за
некорректной обработки глобальных
переменных. Удаленный пользователь может с
помощью специально сформированного URL
выполнить произвольные команды на системе.

Пример:

http://site/forumdisplay.php?GLOBALS[]=1&f=2&comma=".system(‘id’)."



Оставить мнение