 |
26.01.2009 15:29 |
| |
Выполнение произвольного PHP кода в Xoops |
 |
26 января, 2009
Программа: Xoops 2.3.2b, возможно другие версии.
Опасность: Высокая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре mydirname в сценариях xoops_lib/modules/protector/oninstall.php, xoops_lib/modules/protector/onupdate.php, xoops_lib/modules/protector/notification.php и xoops_lib/modules/protector/onuninstall.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Для удачной эксплуатации уязвимости опция register_globals должна быть включена в конфигурационном файле PHP.
URL производителя: www.xoops.org
Решение: Способов устранения уязвимости не существует в настоящее время.
Источники: XOOPS 2.3.2 (mydirname) Remote PHP Code Execution Exploit
|
|
|
Навигация по порталу: 
