Программа: PHP-Fusion 6.00.306, возможно другие версии.

Уязвимость позволяет удаленному пользователю скомпрометировать уязвимую систему.

1. Уязвимость существует из-за ошибки при обработке имени файла с несколькими
расширениями. Удаленный пользователь может загрузит специально сформированный
аватар и выполнить произвольный PHP код на целевой системе.

Успешное выполнение произвольного PHP кода зависит от конфигурации Web сервера
(например, на Web сервере Apache должен быть установлен модуль "mod_mime").

2. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "settings[locale]" в сценарии "infusions/last_seen_users_panel/last_seen_users_panel.php".
Удаленный пользователь может просмотреть произвольные файлы на системе.
Уязвимость существует только на Windows платформах в включенной опцией
register_globals и выключенной magic_quotes_gpc.
 



Оставить мнение