Érintett rendszerek
TUTOSThe Ultimate Team Organization Software
Érintett verziók
TUTOS The Ultimate Team Organization Software 1.X
Összefoglaló
A TUTOS két sebezhetőségét fedezték fel, melyeket rosszindulatú felhasználók érzékeny információk kiszivárogtatására illetve sebezhető rendszerek feltörésére használhatnak.
Leírás
A TUTOS két sebezhetőségét fedezték fel, melyeket rosszindulatú felhasználók érzékeny információk kiszivárogtatására illetve sebezhető rendszerek feltörésére használhatnak.
- A php/admin/cmd.php szkript nem megfelelően korlátozza a beljelentkezett felhasználók hozzáféréseit. Ezt tetszőleges shell parancsokvégrehejtására lehet kihasználni.
- Közvetlenül elérve a php/admin/phpinfo.php szkriptet betekintést nyerhetünk bizonyos rendszerinformációkba melyeket a “phpinfo()” funkció ad vissza.
A sebezhetőséget az 1.3.20070317. verziónál ismerték el. Más verziók is érintettek lehetnek.
Megoldás
Korlátozza a hozzáférést a php/admin/cmd.php és a php/admin/phpinfo.php szkripthez (például .htaccess segítségével).
Használjon más terméket.
Támadás típusa
Authentication Issues (Hitelesítés)Information disclosure (Információ/adat szivárgás)
Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
SECUNIA 28291