A PHPNuke 7.1-es és 7.0-s verziói (talán korábbiak is) bemeneti adat-ellenőrzés gyengeségből kifolyólag többszörösen sebezhetők SQL injection típusú támadással. A hiba kihasználásához semmilyen exploit-ra nincs szükség. Elegendő a megfelelő SQL parancsot a speciálisan formázott URL végére írni. Javítás még nincs.
A Mambo 4.6rc1-es és korábbi, valamint a Joomla! (Mambo fork) 1.0.9-es és korábbi verziói szintén SQL injection metódussal támadhatók. Ha jól értelmeztem az exploitokat, akkor sikeres támadás esetén portál adminisztrátori jogokhoz lehet jutni a használatukkal. Exploitok: Mambo, Joomla!. A hiba a Weblinks modulban van, letiltása talán segít. A sikeres kihasználáshoz regisztrált tagnak kell lenni (user / pass szükséges).
- A hozzászóláshoz be kell jelentkezni
- 2723 megtekintés