Warnstufe:
Hoch kritisch
Auswirkungen:
Enthüllung sensitiver Informationen,
Enthüllung von Systeminformationen
Angriffsweg(e):
von extern
Software:
PhpHostBot 1.x
Beschreibung:
M. Hasran Addahroni meldet eine Schwachstelle in PhpHostBot, ueber die Angreifer
vertrauliche Informationen enthuellen oder das System kompromittieren koennen.
Eingaben über den Parameter "svr_rootscript" (Datei: „order/login.php“) werden
vor der Verwendung zum Einbinden von Dateien nicht ausreichend ueberprueft. Dies
kann der Angreifer ausnutzen, um beliebige Dateien aus lokalen und externen
Quellen einzuspeisen.
Ein erfolgreicher Angriff setzt voraus, dass das Register "register_globals"
aktiviert ist.
Die Sicherheitslücke ist bestätigt für Version 1.06. Frühere Versionen
könnten jedoch ebenfalls betroffen sein.
Lösung:
Aktualisieren Sie auf Version 1.07.
http://www.idevspot.com
Original Security-Report:
http://milw0rm.com/exploits
Gemeldet von:
M. Hasran Addahroni
Keine Kommentare:
Kommentar veröffentlichen