PHP-инклюдинг в mxBB Module kb_mods

Программа: mxBB Module kb_mods 2.0.2

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных сценарием kb_constants.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:

http://[target]/[path]/includes/kb_constants.php?module_root_path=Evil Code
http://[target]/[path]/includes/kb_constants.php?kb_constants.php& board_config[default_lang]=english&phpEx=../../../../../etc/passwd

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.
Похожие материалы