phpFileManager 1.7.8 содержит уязвимость локального включения файлов, которая позволяет неаутентифицированным злоумышленникам читать произвольные файлы, манипулируя параметрами action, fm_current_dir и имени файла. Злоумышленники могут отправлять GET-запросы к index.php со специально созданными значениями параметров для доступа к конфиденциальным файлам, таким как /etc/passwd, с сервера.
Показать оригинальное описание (EN)
phpFileManager 1.7.8 contains a local file inclusion vulnerability that allows unauthenticated attackers to read arbitrary files by manipulating the action, fm_current_dir, and filename parameters. Attackers can send GET requests to index.php with crafted parameter values to access sensitive files like /etc/passwd from the server.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Dulldusk Phpfilemanager
cpe:2.3:a:dulldusk:phpfilemanager:1.7.8:*:*:*:*:*:*:*
|
— | — |