Программа: IMCE 4.x (module for Drupal)

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.

1) Уязвимость существует из-за ошибки в функциональности удаления файлов при проверке относительных путей. В зависимости от контекста безопасности веб-сервера злонамеренные пользователи с полномочиями "delete files" могут удалить произвольные файлы.

2) Уязвимость существует из-за ошибки в обработке загруженных файлов, в случае когда имя файла имеет множественные расширения. Злоумышленник имеющий полномочия "file upload" может воспользоваться данной ошибкой и выполнить произвольный PHP сценарий на целевой системе.

Оставить мнение