• Авторизация
Дневник Хакер_ру Лента друзей - Дневник - Полная версия Sb0y (Хакер_ру)


PHP-инклюдинг в Joomla Community Builder 25-07-2007 03:24 к комментариям - к полной версии - понравилось!


29 августа, 2006

Программа: Community Builder (компонент Joomla) 1.0 RC 2 и 1.0, возможно другие версии.

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удалённому пользователю выполнить произвольный PHP сценарий на целевой системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "mosConfig_absolute_path" в сценарии administrator/components/com_comprofiler/plugin.class.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Для удачной эксплуатации уязвимости опция "register_globals" должна быть включена в конфигурационном файле PHP.

URL производителя: www.joomlapolis.com

Решение: Установите последнюю версию (1.0.1) с сайта производителя.

Источник:

Примечание: Хоть новость и старая, но эту версию компонента на старых сайтах с низкой посещаемостью я иногда вижу - знают не все.
вверх^ к полной версии понравилось! в evernote
Комментарии (2):
burokrat 25-07-2007-13:38 удалить
хот я и лезу не в свой огород, но как понимаю можно найти жертву через гугл код серч. так?
Обратиться - Ответить - К полной версии
Sb0y 25-07-2007-22:14 удалить
burokrat, у меня в данный момент на сайте джумла отвалился модуль коммьюнити билдера, так что ответить на этот вопрос с полной уверенностью я не могу. Но в теории конечно можно.
Обратиться - Ответить - К полной версии


Комментарии (2): вверх^

Вы сейчас не можете прокомментировать это сообщение.

Дневник PHP-инклюдинг в Joomla Community Builder | Хакер_ру - Сообщество Защиты от Вирусов и Хакеров | Лента друзей Хакер_ру / Полная версия Добавить в друзья Страницы: раньше»