Выполнение произвольных команд в форумах YaBB SE

25.04.2003 | 15:23
Уязвимость обнаружена в YaBB SE, популярной системе организации форумов на PHP. Удаленный авторизованный пользователь может выполнять произвольные команды на системе.

Как сообщается, удаленный авторизованный пользователь может внедрить произвольный PHP код, который будет выполнен на целевом сервере с привилегиями процесса Web сервера.

Удаленный заверенный пользователь может изменить установку языка через вкладку "Change Profile" к недопустимому значению. Последующие запросы от такого пользователя будут включать недопустимую установку языка. Пользователь может установить переменную языка, чтобы указать на управляемый пользователем произвольный PHP файл на удаленной системе, который будет выполнен на целевом сервере. Такой PHP файл может содержать команды операционной системы.

Уязвимость обнаружена в YaBB SE 1.5.1.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код