В PHPlist (http://tincan.co.uk/phplist) обнаружена критическая уязвимость, которая способна позволить
удаленному злоумышленнику запускать произвольный код и нарушать безопасность системы.

---

Проблема кроется в отсутствии валидации/нормализации данных, получаемых через некоторые входные параметры. Это хорошо известная уязвимость, типичная для веб-приложений, и эксплуатируется, к примеру, путем SQL-инъекции в онлайновые формы.

В данном случае, уязвимыми параметрами являются "database_module" и "language_module". Если включена опция “register_globals" удаленный
пользователь может сконструировать URL для запуска произвольного кода на сервере, содержащем уязвимое приложение PHPlist.

По данным оригинального бюллетеня, уязвимость распространяется PHPlist версии 2.10.2 и более ранних.  До того, как станет доступна новая версия или официальная заплатка для исправления этой проблемы, пользователям рекомендуется отключить опцию "registers_globals"
или модифицировать код для правильной фильтрации уязвимых параметров.