Inclusione di file arbitrari in Fastpublish CMS La falla è dovuta al fatto che il parametro 'config[fsBase]', passato agli script : drucken.php, drucken2.php, email_an_benutzer.php, rechnung.php, suche/search.php, e adminbereich/admin.php, non viene validato correttamente prima di essere utilizzato per l'inclusione di un file. Manipolando opportunamente il valore del suddetto parametro è possibile includere file arbitrari da un percorso locale o esterno al sito affetto. Le vulnerabilità sono state riscontrate nella versione 1.6.9.d. Altre versioni potrebbero essere affette dal problema. Soluzione:
|