Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com
Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

Inclusione di file arbitrari in Monster Top List  
04/17/2006
 
E' stata riscontrata una vulnerabilità in Monster Top List, la quale potrebbe essere sfruttata da un utente remoto per compromettere un sistema vulnerabile.

La falla è dovuta al fatto che il parametro 'root_path', passato allo script 'sources/functions.php', non viene validato correttamente prima di essere usato per includere un file. Manipolando opportunamente il suddetto parametro è possibile includere ed eseguire script PHP arbitrari da un percorso locale o esterno al sito sito vulnerabile.

La vulnerabilità è stata riscontrata nella versione 1.4. Altre versioni potrebbero essere affette dal problema.

 

 


Soluzione:
Nessuna patch disponibile al momento;
Editare il codice sorgente in modo da validare correttamente l'input.


Riferimenti:
http://pridels.blogspot.com/2006/04/monstertoplist.html
http://secunia.com/advisories/19688/
 

   

Home Page