Smarty 2.6.20 php injection

2008-10-24T00:00:00
ID SECURITYVULNS:DOC:20746
Type securityvulns
Reporter Securityvulns
Modified 2008-10-24T00:00:00

Description

2008-10-22 числа Secunia.com была найдена уязвимость в функции _expand_quoted_text() полный текст http://secunia.com/Advisories/32329/. Разработчики попытались исправить уязвимость как видно из их кода http://smarty-php.googlecode.com/svn/trunk/libs/Smarty_Compiler.class.php

путем экранированием символа '$' : $_return = preg_replace('~\$(\W)~',"\\\\\$\\1",$_return);

но как видно у них это не сильно получилось :/ эксплуатация все еще остается возможной в версии 2.6.20 путем добавления обратного слеша перед знаком '$', и как можно догадатся при компиляции кода смарти получается '\\$' что опять же успешно приводит к нужному результату.

http://forum.antichat.ru/