Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com

Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

Inclusione di file arbitrari in ezUserManger  
05/18/2006

 
E' stata riscontrata una vulnerabilitÓ in ezUserManager che potrebbe essere sfruttata da un utente remoto per compromettere un sistema vulnerabile.

La falla Ŕ dovuta al fatto che il parametro "ezUserManager_Path", passato allo "script usermanager_core.inc.php", non Ŕ validato correttamente prima di essere utilizzato per l'inclusione di un file. Manipolando opportunamente il valore del suddetto parametro Ŕ possibile includere script PHP arbitrari da un percorso locale o esterno al sito affetto.

L'exploitazione della falla Ŕ possibile accedendo allo script "ezusermanager_pwd_forgott.php", il quale include "ezusermanager_core.inc.php", ma richiede che 'register_globals' sia abilitato.

La vulnerabilitÓ Ŕ stata riscontrata nella versione 1.6.

 

Soluzione:
Aggiornare alla versione 1.7.
http://www.ezusermanager.com/download.php


Riferimenti:
http://milw0rm.com/exploits/1795
http://www.ezusermanager.com/download.php

 

   

Home Page