Инклюдинг локальных файлов в PHP Agenda

02 июля, 2008

Программа:PHP Agenda 2.2.4, возможно более ранние версии

Опасность: Средняя

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "page" в сценарии index.php. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе. Пример:

http://[host]/index.php?page=../../../../../../../etc/passwd%00

URL производителя: www.abeel.be/php-agenda/

Решение: Способов устранения уязвимости не существует в настоящее время.