artmedic hpmaker Arbitrary File Inclusion Vulnerability
■危険度・緊急度
3/5:過度に重大
■インパクト
ローカルとリモートからのシステム情報へのアクセス
■概要
PHPスクリプトであるartmedic hpmakerには「index.php」が「p」パラメーターの値のチェックを適切に行わないために外部とローカルから任意のコードを含んだ投稿が可能となっている。
例:http://[victim_host]/index.php?p=../../../../../../../../etc/passwd
■対処
ソースコードの編集
■情報元・関連情報
SecuriTeam.com
http://bichosoft.webcindario.com/advisory-01.txt