Программа: Drupal Project issue tracking Module 4.x
Найденные уязвимости позволяют удаленному злоумышленнику получить доступ к конфиденциальной информации, перезаписать произвольные файлы и выполнить произвольный код на целевой системе.
1) Уязвимость возникает из-за ошибки в установке полномочий. Эксплуатирование уязвимости требует, чтобы атакующий имел полномочия "Access project issues" и приведет к возможности полного доступа ко всем публикациям.
2) Уязвимость возникает из-за ошибки в установке полномочий. Эксплуатирование уязвимости требует, чтобы атакующий имел полномочия "Access project issues" и приведет к возможности выгрузки конфиденциальных и личных файлов.
3) Уязвимость возникает из-за ошибки в проверке расширений загружаемых файлов. Атакующий может загрузить файлы с произвольными расширениями (например, ".php" or ".php.pps") и выполнить произвольный PHP код на сервере. Эксплуатирование уязвимости требует, чтобы атакующий имел полномочия "Access project issues" и Apache сервер был сконфигурирован на запрет перезаписи "FileInfo" в .htaccess файлах.
