Программа: eFiction 2.0.7, возможно более ранние
версии.

Уязвимость позволяет удаленному
пользователю обойти некоторые ограничения
безопасности. Уязвимость существует из-за
ошибки в процессе аутентификации.
Удаленный пользователь может установить
параметры "adminloggedin", "loggedin" и "level"
в 1 и обойти процесс аутентификации. Для
удачной эксплуатации уязвимости опция "register_globals"
должна быть включена.

Пример:

http://[target].com/efiction/index.php?adminloggedin=1&loggedin=1&level=1

Оставить мнение