Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com

Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

Inclusione di file arbitrari in ActionApps  
05/28/2006

 
Sono state riscontrate alcune vulnerabilitÓ in ActionApps che potrebbero essere sfruttate da un utente remoto per compromettere un sistema vulnerabile.

Le vulnerabilitÓ sono dovute al fatto che il parametro 'GLOBALS[AA_INC_PATH]', passato a diversi script, non viene validato correttamente prima di essere utilizzato per includere un file. Ci˛ permette ad un utente malevolo di manipolare il suddetto parametro in modo da eseguire codice PHP arbitrario attraverso l'inclusione di un file da un percorso locale o esterno al sito affetto.

L'exploitazione della falla richiede che 'register_globals' sia abilitato.

Le vulnerabilitÓ sono state riscontrate nella versione 2.8.1. Altre versioni potrebbero essere affette dal problema.

 


Soluzione:
Nessuna patch disponibile al momento;
Editare il codice sorgente in modo da validare correttamente l'input.

 

 

Riferimenti:
http://milw0rm.com/exploits/1829
http://secunia.com/advisories/20299/

 

   

Home Page