Программа: PHP-Fusion 6.00.206 и более ранние версии

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды
в базе данных приложения. Уязвимость существует из-за недостаточной фильтрации
входных данных в параметрах "forum_id" и "thread_id" сценария "options.php",
параметра "lastvisited" в сценариях "viewforum.php" и "index.php". Удаленный
пользователь может с помощью специально сформированного URL выполнить
произвольные SQL команды в базе данных приложения. Удачная эксплуатация
уязвимости возможна при выключенной опции "magic_quotes_gpc". Удаленный
пользователь может вызвать сценарий "subheader.php" и получить данные об
установочной директории приложения на системе.
 

Оставить мнение