Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com

Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

Inclusione di file arbitrari in Fastpublish CMS  
05/30/2006

 
Sono state riscontrate alcune vulnerabilitÓ in Fastpublish CMS, le quali potrebbero essere sfruttate da un utente remoto per compromettere un sistema vulnerabile.

La falla Ŕ dovuta al fatto che il parametro 'config[fsBase]', passato agli script : drucken.php, drucken2.php, email_an_benutzer.php, rechnung.php, suche/search.php, e adminbereich/admin.php, non viene validato correttamente prima di essere utilizzato per l'inclusione di un file. Manipolando opportunamente il valore del suddetto parametro Ŕ possibile includere file arbitrari da un percorso locale o esterno al sito affetto.

Le vulnerabilitÓ sono state riscontrate nella versione 1.6.9.d. Altre versioni potrebbero essere affette dal problema.

 

Soluzione:
Nessuna patch disponibile al momento;
Editare il codice sorgente in modo da validare correttamente l'input.


Riferimenti:
http://milw0rm.com/exploits/1848
http://secunia.com/advisories/20346/
 

   

Home Page