CH azonosító
CH-5963Angol cím
Joomla! obSuggest Component "controller" Local File Inclusion VulnerabilityFelfedezés dátuma
2011.11.15.Súlyosság
KözepesÉrintett rendszerek
JoomlaobSuggest component
Érintett verziók
obSuggest 1.x (component for Joomla!)
Összefoglaló
A Joomla! obSuggest komponensének olyan sérülékenységét jelentették, amelyet a támadók kihasználhatnak érzékeny információk felfedésére.
Leírás
Az index.php “controller” paraméterének átadott bemeneti adat nincs megfelelően ellenőrizve (ha az “option” beállított értéke “com_obsuggest”), mielőtt fájlok befoglalásához felhasználnák azt. Ez kihasználható tetszőleges helyi erőforrásból származó fájlok befoglalására könyvtár bejárásos (directory traversal) támadásokon keresztül, valamint az URL NULL bájtra kódolásával.
A sérülékenységet az 1.8 verziónál korábbiakban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: foobla.com
SECUNIA 46844