Инклюдинг локальных файлов в phpBB Nivisec Hacks List

Программа: Nivisec Hacks List (модуль для phpBB) 1.20, возможно более ранние версии.

Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре "phpEx" в сценарии admin_hacks_list.php. Удаленный пользователь может с помощью специально сформированного URL просмотреть произвольные файлы на системе.

Пример:

http://[host]/admin/admin_hacks_list.php?setmodules=1 &board_config[default_lang]=english&phpEx=[file]

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.
Похожие материалы