Összefoglaló
A Web3new egy olyan sérülékenysége vált ismertté, amelyet rosszindulatú támadók kiaknázhatnak az érintett rendszerek kompromittálására.
Leírás
A Web3new egy olyan sérülékenysége vált ismertté, amelyet rosszindulatú támadók kiaknázhatnak az érintett rendszerek feltörésére.
A “PHPSECURITYADMIN_PATH” paraméter bemenete, a security/include/_class.security.php-ban nincs megfelelően ellenőrizve a fájlok beillesztése előtt. Ezt kiaknázva káros file-okat szúrhatnak be külső és heliy forrásokból.
A sikeres kiaknázás feltétele a “register_globals” engedélyezése.
A sebezhetőség a 0.95. verzióban jelentették, de más kiadások is érintve lehetnek.
Megoldás
Javítsa ki a forráskódot, hogy az input helyesen ellenőrizve legyen. Állítsa a “register_globals”-t “Off”-ra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 21640
Egyéb referencia: milw0rm.com
