PHP-инклюдинг в Open Translation Engine

4 мая 2007 | d4rkr00t | Security

Программа: Open Translation Engine 0.6, возможно другие версии. Опасность: Высокая Наличие эксплоита: Да Описание: Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре «ote_home» в сценарии skins/header.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Для удачной эксплуатации уязвимости опция «register_globals» должна быть включена в конфигурационном файле PHP. Пример: http://[host]/skins/header.php?ote_home=[file] URL производителя: ote.2meta.com Решение: Способов устранения уязвимости не существует в настоящее время.

Главная Статьи Уязвимости Форум О проекте