Érintett rendszerek
ardea WorkshopardeaCore PHP Framework
Érintett verziók
ardea Workshop ardeaCore PHP Framework 2.x
Összefoglaló
Egy sérülékenységet találtak az ardeaCore PHP Framework-ben, amit kihasználva, támadók feltörhetik a sérülékeny rendszert.
Leírás
Az ardeaCore PHP Framework olyan sérülékenysége vált ismertté, amelyet
kihasználva támadók feltörhetik a sérülékeny rendszert.
A ardeaCore/lib/core/ardeaInit.php “pathForArdeaCore” változójának átadott érték nincs megfelelően ellenőrizve, mielőtt használnák. Ezt felhasználva, tetszőleges helyi vagy távoli állományokat is lehet beszúrni.
A hiba sikeres kihasználásához szükséges, hogy a “register_globals” engedélyezve legyen.
A sérülékenységet a 2.2. verzióban találták, de egyéb kiadások is érintve lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)