Программа: phpwcms 1.2.6 CVS, и более ранние версии.

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий
на целевой системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "nome_evento", "text_evento" и "email_evento" в сценарии
phpwcms_code_snippets/mail_file_form.php. Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольный PHP код на целевой
системе с привилегиями Web сервера.

2. Уязвимость существует из-за недостаточной обработки входных данных в
заголовке "HTTP_REFERER" в сценарии include/inc_act/act_formmailer.php.
Удаленный пользователь может внедрить произвольные заголовки в email сообщение.

 



Оставить мнение