Összefoglaló
A YACS több sebezhetőségét jelentették, amiket kihasználva támadók kártékony kódot futtathatnak.
Leírás
A YACS több sebezhetőségét jelentették, amiket kihasználva támadók külső vagy helyi forrásból kártékony scripteket szúrhatnak be, vagy kártékony kódot futtathatnak a webszerver jogosultságával.
A sebezhetőségek oka, hogy a fájlok beillesztése előtt számos script, így pl. az “article.php” sem ellenőrzi kellőképpen a “context[path_to:root] paraméter bemenetét.
A támadás sikerének feltétele, hogy a “register_globals” engedélyezve legyen.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
SECUNIA 21680
Egyéb referencia: www.vupen.com
Egyéb referencia: securityreason.com
CVE-2006-4559 - NVD CVE-2006-4559
CVE-2006-4532 - NVD CVE-2006-4532