Vulnerabilitate in PHP-Nuke

de Razvan Carstea | 29 noiembrie 2006

A fost raportata o vulnerabilitate in PHP-Nuke ce poate fi exploatata de atacatori pentru a lansa atacuri de tip SQL injection.Datele de intrare furnizate parametrului sid din fisierul script modules/News/index.php nu sunt suficient verificate inainte de a fi folosite intr-o operatie SQL. Aceasta poate fi exploatata pentru a manipula operatiile SQL prin injectarea de cod SQL arbitrar.

Exploatarea cu succes permite sustragerea numelor utilizatorilor cu drepturi de administrator precum si valoarea criptata (hash) a parolelor, dar necesita ca optiunea magic_quotes_gpc sa fie dezactivata si ca atacatorul sa cunoasca prefixul tabelelor din bazele de date.

Programe afectate: PHP-Nuke 7.x

Sursa: GECAD

Recomanda   afisari

spacer
spacer
Articole similare
spacer
Opiniile cititorilor
spacer

Recomanda pe Google