Программа: Oops! 1.5.23 и более ранние версии

Уязвимость позволяет удаленному
пользователю выполнить произвольный код на
целевой системе. Уязвимость форматной
строки существует из-за недостаточной
обработки входных данных в функции auth()
модуля passwd_mysql/passwd_pgsql, гже содержится вызов
функции my_xlog(). Удаленный пользователь может
с помощью специально сформированного HTTP
запроса вызвать отказ в обслуживании или
выполнить произвольный код на целевой
системе.

Пример:

GET http://%s%s%s%s%s%s%s%s/ HTTP/1.0
Host: ghc.ru
Proxy-Authorization: Basic Z2hjOnJzdA==



Оставить мнение