Liczne dziury w Auxilium PetRatePro umożliwiają przeprowadzenie ataków XSS, SQL i przejęcie kontroli nad systemem.Program nieprawidłowo weryfikuje zapytania HTTP, pozwalając użytkownikowi na przeprowadzanie niebezpiecznych działań.Można to wykorzystać np. do utworzenia nowego konta z uprawnieniami administratora w czasie, gdy administrator odwiedza zainfekowaną witrynę. Dane wejściowe przesyłane za pośrednictwem parametru „phid“ do viewcomments.php nie są odpowiednio oczyszczane przed ich użyciem w zapytaniach SQL. Możliwe jest zatem manipulowanie zapytaniami poprzez wstrzyknięcie kodu SQL.
Znaleziono też błąd w skrypcie admin/sitebanners/upload_banners.php. Pozwala on na pobranie do foldera administratora plików o dowolnym rozszerzeniu, co z kolei umożliwia wykonanie dowolnego kodu PHP.
Obecnie nie istnieje żadna poprawka.
Dziura w TAGWORX.CMS
Błąd w TAGWORX.CMS umożliwia wstrzyknięcie szkodliwego kodu SQL. Dane wejściowe przekazywane za pośrednictwem parametru „cid“ do gallery.php nie są oczyszczane przed użyciem w zapytaniu SQL. Pozwala to na manipulowanie zapytaniami poprzez wstrzyknięcie dowolnego kodu.
Obecnie brak jest rozwiązania tego problemu.
źródło.Arcabit.pl
Dziurawe Auxilium PetRatePro
0Znaleziono też błąd w skrypcie admin/sitebanners/upload_banners.php. Pozwala on na pobranie do foldera administratora plików o dowolnym rozszerzeniu, co z kolei umożliwia wykonanie dowolnego kodu PHP.
Obecnie nie istnieje żadna poprawka.
Dziura w TAGWORX.CMS
Błąd w TAGWORX.CMS umożliwia wstrzyknięcie szkodliwego kodu SQL. Dane wejściowe przekazywane za pośrednictwem parametru „cid“ do gallery.php nie są oczyszczane przed użyciem w zapytaniu SQL. Pozwala to na manipulowanie zapytaniami poprzez wstrzyknięcie dowolnego kodu.
Obecnie brak jest rozwiązania tego problemu.
źródło.Arcabit.pl
About the Author
Related Posts