Программа: GF-3XPLORER 2.4

Найденные уязвимости позволяют удаленному злоумышленнику произвести XSS нападение, получить доступ к конфиденциальной информации и выполнить произвольный PHP сценарий на целевой системе.

1) Уязвимость возникает из-за ошибки в проверке входных данных в параметре «lang_sel» сценариями updater.php и thumber.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

2) Уязвимость возникает из-за ошибки в проверке входных данных в параметре «newdir» сценарием index_3x.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

3) Уязвимость возникает из-за ошибки в проверке входных данных сценарием phpinfo.php. Уязвимость позволяет получить несанкционированный доступ к конфиденциальной информации на целевой системе.

Примеры:

http://[site]/[path]/updater.php?lang_sel=[LFI]%00
http://[site]/[path]/thumber.php?lang_sel=[LFI]%00

Xss

http://[site]/[path]/index_3x.php?newdir=">[Xss]

phpinfo(); View

http://[site]/GF-3XPLORER/explorer/phpinfo.php



Оставить мнение