Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com

Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

Inclusione di file arbitrari in Php Blue Dragon CMS  
05/15/2006

 
E' stata riscontrata una vulnerabilitÓ in Php Blue Dragon CMS, la quale potrebbe essere sfruttata da un utente remoto per compromettere un sistema vulnerabile.

La falla Ŕ dovuta al fatto che l'input passato allo script public_includes/pub_popup/popup_finduser.php, tramite il parametro 'vsDragonRootPath', non viene validato correttamente prima di essere utilizzato per l'inclusione di un file. Manipolando opportunamente il valore del suddetto parametro Ŕ possibile includere script PHP arbitrari da un percorso locale o esterno al sito vulnerabile.

L'exploitazione della falla richiede che 'register_globals' sia abilitato.

La vulnerabilitÓ Ŕ stata riscontrata nella versione 2.8.0. Altre versioni potrebbero essere affette dal problema.

 


Soluzione:
Nessuna patch disponibile al momento;
Editare il codice sorgente in modo da validare correttamente l'input.

 

Riferimenti:
http://milw0rm.com/exploits/1779
http://secunia.com/advisories/20115/

 

   

Home Page