Inclusione di file arbitrari in ActionApps Le vulnerabilità sono dovute al fatto che il parametro 'GLOBALS[AA_INC_PATH]', passato a diversi script, non viene validato correttamente prima di essere utilizzato per includere un file. Ciò permette ad un utente malevolo di manipolare il suddetto parametro in modo da eseguire codice PHP arbitrario attraverso l'inclusione di un file da un percorso locale o esterno al sito affetto. L'exploitazione della falla richiede che 'register_globals' sia abilitato. Le vulnerabilità sono state riscontrate nella versione 2.8.1. Altre versioni potrebbero essere affette dal problema. Riferimenti:
|