Навигация
Главная »  Интернет 

PHP-инклюдинг и межсайтовый скриптинг m-phorum


Программа: m-phorum 0.2
Опасность: Критическая
Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре go в сценарии index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре go сценария index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://victim/path/index.php?go=><script>alert(document.cookie)</script>
http://victim/path/index.php?go=><script>alert(/Codexplodertq/)</script>
http://victim/path/index.php?go=><script>alert(document.domain)</script>

URL производителя: m-phorum.sourceforge.net

Решение: Способов устранения уязвимости не существует в настоящее время.

 

 Переполнение буфера и раскрытие данных в MySQL.
 Порядок регистрации доменов .RU упростят.
 Оптимизаторы скоро лишатся работы?.
 Порно-домену .XXX сказали окончательное нет.
 Google собирается нанимать программистов в помощь OpenOffice.org.


Главная »  Интернет 

© 2017 Team.Furia.Ru.
Частичное копирование материалов разрешено.