Программа: C-News 1.0.1, возможно другие версии.
Опасность: Высокая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимостьсуществует из-за недостаточной обработки входных данных в параметре"path" в различных сценариях. Удаленный пользователь может выполнитьпроизвольный PHP сценарий на целевой системе с привилегиями Webсервера. Для удачной эксплуатации уязвимости опция "register_globals"должна быть включена в конфигурационном файле PHP. Пример:
http://[host]/affichage/commentaires.php?path=[file]
http://[host]/affichage/formulaire_commentaires.php?path=[file]
http://[host]/affichage/liste_news.php?path=[file]
http://[host]/affichage/news_complete.php?path=[file]
http://[host]/affichage/pagination.php?path=[file]
URL производителя: www.c-news.fr
Решение: Способов устранения уязвимости не существует в настоящее время.