phpAdsNew/phpPgAds < 2.0.6の複数の脆弱性

high Nessus プラグイン ID 19518

Language:

概要

リモートのWebサーバーには、複数の脆弱性の影響を受けるPHPアプリケーションが含まれています。

説明

リモートホストは、オープンソースのバナー広告サーバーであるphpAdsNew/phpPgAdsを実行しています。

リモートホストにインストールされているバージョンのphpAdsNews/phpPgAdsには、いくつかの欠陥があります。

- リモートPHPコードインジェクションの脆弱性。このアプリケーションにバンドルされているXML-RPCライブラリでは、攻撃者が「adxmlrpc.php」スクリプトを使用して任意のPHPコードを挿入し、影響を受けるWebサーバーのユーザーIDのコンテキスト内で実行することが可能です。

- 複数のローカルファイルインクルードの脆弱性。このアプリケーションは、「adlayer.php」スクリプトの「layerstyle」パラメーターと「admin/js-form.php」スクリプトの「language」パラメーターに対するユーザー指定の入力を、PHPファイルを含めて実行するために使用する前にサニタイズしません。PHPの「magic_quotes」ディレクティブが無効になっている場合に、攻撃者がこれらの問題を悪用して、任意のローカルファイルを読み取る可能性があります。

- SQLインジェクションの脆弱性。攻撃者が「libraries/lib-view-direct.inc.php」スクリプトの「clientid」パラメーターに対する入力を使用して、SQLクエリを操作する可能性があります。