Cyberfolio File Inclusion Vulnerabilities
Дата Выпуска: 2006-11-06
Уровень: Высоко критический
Решение: Неисправленно
Software: Cyberfolio 2.x
Описание:
Входящие данные в параметре "av" в view.php, inc_message.php, inc_envoi.php, и другие, должным образом не проверяются на внешний инклуд. Это может эксплуатироваться, чтобы заинклудить произвольный скрипт.
Примеры:
Успешная эксплуатация требует, чтобы "register_globals" был включен.
Дата Выпуска: 2006-11-06
Уровень: Высоко критический
Решение: Неисправленно
Software: Cyberfolio 2.x
Описание:
Входящие данные в параметре "av" в view.php, inc_message.php, inc_envoi.php, и другие, должным образом не проверяются на внешний инклуд. Это может эксплуатироваться, чтобы заинклудить произвольный скрипт.
Примеры:
Код:
http: // [host]/portfolio/msg/view.php?av=
http: // [host]/portfolio/msg/inc_message.php?av=
http: // [host]/portfolio/msg/inc_envoi.php?av=
http: // [host]/portfolio/admin/incl_voir_compet.php?av=