Программа: Unak-CMS 1.5, возможно другие версии.
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре "dirroot" в сценарии fckeditor/editor/filemanager/browser/ default/connectors/php/connector.php и fckeditor/editor/dialog/fck_link.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Пример:
http://[host]/[Script Path]/fckeditor/editor/filemanager/browser/ default/connectors/php/connector.php?Dirroot=[file]
http://[host]/[Script Path]/fckeditor/editor/dialog/fck_link.php?dirroot=[file]
