|
doop "page" Inclusão de Arquivos Locais |
|
|
|
Por Marcelo Almeida (Vympel)
|
|
16 de October de 2007 |
|
Vladii descobriu uma falha de segurança no doop, a qual pode ser explorada por pessoas maliciosas para revelar informações sensíveis do sistema.
Na página index.php o parâmetro "page" não é corretamente verificado antes de efetuar a inclusão de arquivos. Esta falha poderá ser explorada para realizar a inclusão de arquivos locais.
Para a exploração desta falha é necessário que a função "magic_quotes_gpc" esteja desativada.
Solução:
Edita o código fonte da página para garantir que o parâmetro de inclusão seja corretamente executado...
Descoberto por:
vladii
Changelog:
2007-10-16: Added CVE reference.
Aviso original:
http://milw0rm.com/exploits/4536
|
