Программа: PmWiki 2.1 beta 20 и более ранние версии

Уязвимость существует в дерегистрации уровня "register_globals" при обработке
параметров массива "GLOBALS". Удаленный пользователь может выполнить
произвольный PHP сценарий на целевой системе и произвести XSS нападение.

Пример:

http://[victim]/pmwiki.php?GLOBALS&GLOBALS[FarmD]=[file]

Для удачной эксплуатации уязвимости необходимо, чтобы опция "register_globals"
была включена.
 



Оставить мнение