Összefoglaló
Egy sérülékenységet észleltek a MySQL Commanderben, amit rosszindulatú támadók kihasználhatnak az érintett rendszerek feltöréséhez.
Leírás
A “ressourcen/dbopen.php” fájlban a “home” paraméternek adott bemenet nincs kellően ellenőrizve mielőtt az fájlok beszúrásához alkalmaznánk. Ez kihasználható tetszőleges fájlok beszúrásához helyi vagy külső forrásokból.
A sérülékenység kiaknázáshoz a “register_globals” bekapcsolása szükséges.
A sérülékenységet a 2.7-es verzióban észlelték, de más verziók is érintettek lehetnek.
