Összefoglaló
Az Open Web Analytics egy olyan sérülékenységét fedezték fel, melyet a támadók kihasználhatnak a sérülékeny rendszer feltörésére.
Leírás
Az Open Web Analytics egy olyan sérülékenységét fedezték fel, melyet a támadók kihasználhatnak a sérülékeny rendszer feltörésére.
Az mw_plugin.php “IP” paraméterének átadott bemenet nincs megfelelően megtisztítva mielőtt, mielőtt azt fájlok tartalmaként felhasználnák. Ez kihasználható tetszőleges helyi és távoli erőforrásból származó fájl tartalomként való felhasználására könyvtár bejárásos támadásokkal és URL-kódolt NULL byte-okkal.
A sikeres kiaknázás feltétele, hogy a “magic_quotes_gpc” le legyen tiltva, és a “register_globals” engedélyezve legyen.
A sérülékenységet az 1.2.3. verzióban igazolták. Más verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.openwebanalytics.com
SECUNIA 39153