TUTOS parancs futtatása és információ kiszivárogtatása

CH azonosító

CH-905

Felfedezés dátuma

2008.01.07.

Súlyosság

Magas

Érintett rendszerek

TUTOS
The Ultimate Team Organization Software

Érintett verziók

TUTOS The Ultimate Team Organization Software 1.X

Összefoglaló

A TUTOS két sebezhetőségét fedezték fel, melyeket rosszindulatú felhasználók érzékeny információk kiszivárogtatására illetve sebezhető rendszerek feltörésére használhatnak.

Leírás

A TUTOS két sebezhetőségét fedezték fel, melyeket rosszindulatú felhasználók érzékeny információk kiszivárogtatására illetve sebezhető rendszerek feltörésére használhatnak.

  1. A php/admin/cmd.php szkript nem megfelelően korlátozza a beljelentkezett felhasználók hozzáféréseit. Ezt tetszőleges shell parancsokvégrehejtására lehet kihasználni.
  2. Közvetlenül elérve a php/admin/phpinfo.php szkriptet betekintést nyerhetünk bizonyos rendszerinformációkba melyeket a “phpinfo()” funkció ad vissza.

A sebezhetőséget az 1.3.20070317. verziónál ismerték el. Más verziók is érintettek lehetnek.

Megoldás

Korlátozza a hozzáférést a php/admin/cmd.php és a php/admin/phpinfo.php szkripthez (például .htaccess segítségével).

Használjon más terméket.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
CVE-2025-6554 – Google Chromium V8 sérülékenysége
CVE-2025-6543 – Citrix NetScaler sérülékenysége
CVE-2014-4078 – Microsoft Exchange szerver sérülékenység
CVE-2025-6170 – Red Hat sebezhetősége
CVE-2025-6021 – Red Hat sebezhetősége
CVE-2025-49796 – Red Hat sebezhetősége
CVE-2025-5777 – Citrix NetScaler sebezhetősége
Tovább a sérülékenységekhez »