Összefoglaló
Egy sérülékenységet találtak a phpRealtyben, amit kihasználva, támadók feltörhetik a sérülékeny rendszert.
Leírás
Egy sérülékenységet találtak a phpRealtyben, amit kihasználva, támadók feltörhetik a sérülékeny rendszert.
A manager/static/view.php „INC” paraméternek átadott bemenet nincs megfelelően ellenőrizve, mielőtt külső file-ok beolvasásához használná a rendszer, abban az esetben, ha „propID” értéke egy nem nulla szám. Ezt kihasználva, tetszőleges állományt lehet beolvasni helyi vagy akár távoli forrásból.
A sérülékenységet a 0.03-as verzióban találták, de egyéb kiadások is érintve lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 31874
Egyéb referencia: milw0rm.com
CVE-2008-4134 - NVD CVE-2008-4134