|
|
|
|
|
|
|
|
|
|
Inclusione di file arbitrari in phpWebSite La falla è dovuta al fatto che il parametro 'hub_dir', passato allo script 'index.php', non viene validato correttamente prima di essere utilizzato per includere un file. Manipolando opportunamente il valore del suddetto parametro è possibile includere file arbitrari da un percorso locale al sito vulnerabile in modo da conoscerne il contenuto. La vulnerabilità può essere ulteriormente sfruttata per includere script PHP arbitrari residenti su una condivisione Windows esterna, nel caso il sistema affetto stia eseguendo PHP 5 su piattaforma Microsoft Windows. L'exploitazione della falla richiede che 'magic_quotes_gpc' sia disabilitato. La vulnerabilità è stata riscontrata nella versione 0.10.2. Altre versioni potrebbero essere affette dal problema. Soluzione:
|
