Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com

Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

Inclusione di file arbitrari in phpMyDirectory  
05/24/2006

 
E' stata riscontrata una vulnerabilitÓ in phpMyDirectory che potrebbe essere sfruttata da un utente remoto per compromettere un sistema vulnerabile.

La falla Ŕ dovuta al fatto che il parametro 'ROOT_PATH', passato agli script: 'template/default/footer.php', 'template/Yellow/footer.php', 'defaults_setup.php', e 'template/default/test/header.php', non viene validato correttamente prima di essere utilizzato per l'inclusione di un file. Manipolando opportunamente il valore del suddetto parametro Ŕ possibile includere file arbitrari da un percorso locale o esterno al sito vulnerabile.

La vulnerabilitÓ Ŕ stata riscontrata nella versione 10.4.4. Altre versioni potrebbero essere affette dal problema.

 

 

Soluzione:
Nessuna patch disponibile al momento;
Editare il codice sorgente in modo da validare correttamente l'input.

 

Riferimenti:
http://milw0rm.com/exploits/1808
http://secunia.com/advisories/20209/
 

   

Home Page