CH azonosító
CH-4424Angol cím
Simple Machines Forum Guest Access Security BypassFelfedezés dátuma
2011.02.22.Súlyosság
AlacsonyÉrintett rendszerek
Simple MachinesSimple Machines Forum (SMF)
Érintett verziók
Simple Machines Forum 1.x
Összefoglaló
A Simple Machines Forum olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak bizonyos biztonsági korlátozások megkerülésére.
Leírás
A sérülékenység oka, hogy az SSI.php nem ellenőrzi a vendég (guest) hozzáférési jogosultságokat, amikor függvényhívásokat alkalmaz. Ez kihasználható bizonyos korlátozott függvények meghívására és pl. a legújabb hozzászólások és témák (“Recent Posts” és “Recent Topics”) felfedésére letiltott vendég hozzáféréssel rendelkező fórumokban.
A sérülékenységet az 1.1.12. verzióban ismerték fel, de a megelőző verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Misconfiguration (Konfiguráció)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.simplemachines.org
SECUNIA 43436
