Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com

Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

Inclusione di file arbitrari in Basic Analysis and Security Engine  
05/28/2006

 
Sono state riscontrate alcune vulnerabilitÓ in Basic Analysis and Security Engine, le quali potrebbero essere sfruttate da un utente remoto per compromettere un sistema vulnerabile.

Le vulnerabilitÓ sono dovuta al fatto che il parametro 'BASE_PATH', passato agli script : base_qry_common.php, base_stat_common.php, e base_include.inc.php, non viene validato correttamente prima di essere utilizzato per includere un file. Ci˛ permette ad un utente malevolo di manipolare il suddetto parametro in modo da includere file arbitrari da un percorso locale o esterno al sito affetto.

L'exploitazione della falla richiede che 'register_globals' sia abilitato.

Le vulnerabilitÓ sono state riscontrate nella versione 1.2.4. Altre versioni potrebbero essere affette dal problema.

 


Soluzione:
Nessuna patch disponibile al momento;
Editare il codice sorgente in modo da validare correttamente l'input.
Impostare 'register_globals' su 'Off'.


Riferimenti:
http://secunia.com/advisories/20300/
http://milw0rm.com/exploits/1823

   

Home Page