漏洞标题
N/A
漏洞描述信息
"PHP-Stats 0.1.9.1 及其更早版本中的 admin.php 中的 modify_config 操作中的直接静态代码注入漏洞允许远程登录的管理员通过 option_new[compatibility_mode] 参数执行任意的 PHP 代码,而该参数在存储到 config.php 之前并未过滤。注意:这个漏洞可以由远程未验证的攻者与 option[admin_pass] 认证绕过漏洞相结合来利用。"
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Direct static code injection vulnerability in the modify_config action in admin.php for PHP-Stats 0.1.9.1 and earlier allows remote authenticated administrators to execute arbitrary PHP code via the option_new[compatibility_mode] parameter, which is not filtered before being stored in config.php. NOTE: this vulnerability can be exploited by remote unauthenticated attackers in conjunction with the option[admin_pass] authentication bypass vulnerability.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
PHP-Stats 'admin.php'直接静态代码注入漏洞
漏洞描述信息
PHP-Stats 0.1.9.1及其早期版本的admin.php,其modify_config操作中存在直接静态代码注入漏洞,远程经过身份验证的管理员可以通过option_new[compatibility_mode] 参数(在存储到config.php中前未经过滤)执行任意PHP码。 注意:该漏洞会被远程未经身份验证的攻击者,通过选项[admin_pass] 身份验证绕过漏洞加以利用。
CVSS信息
N/A
漏洞类别
授权问题