Zone-H Advertisement
Home arrow Avisos de Segurança arrow TalkBack: Múltiplas inclusões de arquivos
26 de julho de 2008
  
 
Ataques desta semana
O.S.  Defs.  %
Linux  3595  71.15%
Win 2003  1155  22.86%
Win 2000  156  3.09%
FreeBSD  126  2.49%
HP-UX  0.10%
Other  16  0.32%

Total de ataques: 5053 dos quais 940 único(s) no ip e 4113 invasão(ões) em massa

Menu Principal
Home
Guerra Digital
Geopolítica
Notícias ITsec
Avisos de Segurança
Test Drive
360°
Sites atacados
Eventos do Zone-H
Fórum
Publicações
Zone-H Amigos/Parceiros
Contate-nos
Sobre este Site
Membros do Zone-H BR
Favoritos geral
Zone-H.org
Área de download
TalkBack: Múltiplas inclusões de arquivos PDF Imprimir E-mail
Avaliação do Usuário: / 1
PiorMelhor 
Por Marcelo Almeida (Vympel)   
23 de novembro de 2007
Noge descobriu algumas falhas de segurança no TalkBack, as quais podem ser exploradas por usuários maliciosos para descobrir informações importantes ou comprometer um sistema vulnerável.
Os parâmetros "config[comments_form_tpl]" em comments-display-tpl.php e "language_file" em comments-display-tpl.php e addons/separate-comments-mod/my-comments-display-tpl.php não são corretamente verificados depois de serem usados para incluir arquivos.
Este erro pode ser explorado para realizar a inclusão de arquivos arbitrários de recursos locais ou remotos.
Para o sucesso da exploração desta falha, é necessário que o "register_globals" esteja como "enable"...

Esta falha foi confirmada na versão 2.2.7. Outros versões talvez estejam vulneráveis.
Solução:
Editar o código fonte para garantir que os parâmetros de inclusão sejam corretamente utilizados.

Descoberto/informado por:
NoGe

Aviso original:
http://milw0rm.com/exploits/4640
 
< Anterior   Próximo >
[Voltar]
 
Top!
(C) 2008 Zone-H - Informação sem restrição
Top!