Программа: UBB.threads 6.5.1 

Уязвимость позволяет удаленному пользователю выполнить произвольные команды на уязвимой системе.
Уязвимость существует из-за некорректной фильтрации входных данных в файлах includepollresults.php и ubbt.inc.php. Удаленный пользователь может изменить значение переменных thispath, tempstyle и configdir и выполнить произвольные команды на уязвимой системе с привилегиями web сервера. 

Примеры: 

http://www.dreamerz.cc/ubbthreads/includepollresults.php? thispath=qqqqqq&tempstyle=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
http://www.dreamerz.cc/ubbthreads/ubbt.inc.php?thispath=qqqqqq
http://www.dreamerz.cc/ubbthreads/ubbt.inc.php?configdir=qqqqqq

Примечание: Возможно для успешной эксплуатации уязвимости требуется правка файлов куки.

Оставить мнение