Программа: PHP 5.x

Уязвимость позволяет удаленному злоумышленнику выполнить XSS нападение, осуществить DoS атаку и выполнить произвольный код на целевой системе.

1) Уязвимость существует из-за ошибки в проверке входных данных в PHP HTMLEntities. Атакующий может выполнить произвольный код в контексте безопасности уязвимого Web сервера.

2) Уязвимость существует из-за ошибки в проверке входных данных в PHP PHPInf. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

http://www.example.com/phpinfo.php?GLOBALS[test]= <script>alert(document.cookie);</script>

3) Уязвимость существует из-за ошибки в PHP Apache 2 в обработчике apache2handler SAPI (of the 'sapi_apache2.c' file). Локальный атакующий может выполнить вредоносные действия, что приведет к краху сервера.

4) Уязвимость существует из-за ошибки в модуле PHP Group Exif при обработке EXIF графических данных в файлах формата JPEG. Атакующий может передать специально составленные JPEG изображения, что приведет к отказу системы в обслуживании.

5) Уязвимость существует из-за ошибки в проверке входных данных в директиве 'register_globals', которая остается включенной во время всего жизненного цикла затронутого процесса, при условии, что PHP запущен в качестве модуля Apache. Атакующий может отправить злонамеренный запрос, заставив сработать директиву 'register_globals', в результате чего приложение будет чрезмерно потреблять ресурсы памяти.

6) Уязвимость существует из-за ошибки в проверке входных данных при обработке HTTP POST запросов. Атакующий может отправить специально составленный запрос, что приведет к перезаписи переменной GLOBAL.

Пример:

http://downloads. securityfocus.com/ vulnerabilities/exploits/ e107_globals_overwrite_and_zendhashdel_poc.txt

7) Уязвимость существует из-за ошибки в PHP cURL и GD, позволяющей злоумышленнику обойти ограничения безопасности safe_mode и open_basedir.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии