Программа: Hesk 0.93 и более ранние версии

Уязвимость позволяет удаленному
пользователю получить административный
доступ к приложению. Уязвимость существует
при обработке входных в HTTP заголовках.
Злоумышленник может указать с помощью POST
запроса в сценарии admin.php специально
сформированное значение параметра PHPSESSID и
затем использовать этот идентификатор
сессии для административного управления
сайтом. Удаленный пользователь может
послать специально сформированный POST
запрос, содержащий метасимволы в
переменной PHPSESSID и получить данные об
установочной директории приложения на
сервере.



Оставить мнение