###########################################################################<br>#Advisory #2 Title: file Modification in osCommerce<br># <br># <br># Author: 0o_zeus_o0<br># Contact: <a href="mailto:zeus@diosdelared.com">zeus@diosdelared.com
</a><br># Website: <a href="http://olimpusklan.org">olimpusklan.org</a><br># Date: 27/12/2005<br># Risk: High <br># Vendor Url: <a href="http://www.oscommerce.com/">http://www.oscommerce.com/</a><br># Affected Software: osCommerce
<br># Non Affected: <br># <br># We Are: Olimpus KlaN<br>#<br>#TECHNICAL INFO<br>#================================================================<br>#<br>#it is simple to operate bug as long as the file file_manager.php <br>
#exists in the administration panel.<br>#<br>#thanks to this file we can visualize archives such as configure.php<br>#bug is serious since if the file has permissions of writing can modify<br>#the site or to accede to the FTP of the same one
<br>#<br>#BUG<br>#================================================================<br>#http://www.site.org/admin/file_manager.php<br>#http://www.site.org/admin/file_manager.php?info=archive.php&amp;action=edit<br>#http://www.site.org/admin/file_manager.php?info=
archive.php&amp;action=edit<br>#<br>#VULNERABLE VERSIONS<br>#================================================================<br># All<br>#<br>#<br>#================================================================<br>Contact information
<br>#0o_zeus_o0<br>#zeus@<a href="http://diosdelared.com">diosdelared.com</a><br>#www.olimpusklan.org<br>#================================================================<br>#greetz: lady fire, fraude, adi, xoxo , pandora, mbyte ,
S.s.m.<br>##############################################################################