Программа: vBulletin 3.0.6 и более ранние версии

Уязвимость позволяет удаленному
пользователю выполнить произвольные
команды на уязвимой системе с привилегиями
web-сервера. Уязвимость существует при
обработке имен шаблонов в сценарии ‘misc.php’
при включенной опции ‘Add Template Name in HTML Comments’ (не
является значением по умолчанию). Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольный
код на системе.

Пример:

http://[target]/misc.php?do=page&template={${phpinfo()}}



Оставить мнение