Összefoglaló
A Newxooper PHP egy olyan sebezhetőségét jelentették, melyet rosszindulatú emberek a sérült rendszer feltöréséhez használhattak fel.
Leírás
Dr Max Virus a Newxooper PHP egy olyan sebezhetőségét ismertette, melyet rosszindulatú emberek a sérült rendszer feltöréséhez használhattak fel.
A compteur/mapage.php “chemin” paraméterének átadott bemenet nincs helyesen leellenőrizve, mielőtt azt file tartalomként felhasználnák. Ezt lehet kihasználni helyi vagy külső erőforrásokból származó tetszőleges file tartalmak előállítására.
A sikeres kiaknázás feltétele, hogy a “register_globals” engedélyezve legyen.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.vupen.com
Egyéb referencia: milw0rm.com
SECUNIA 23479
CVE-2006-6711 - NVD CVE-2006-6711
CVE-2006-6748 - NVD CVE-2006-6748