В Hesk найдена уязвимость
В программе Hesk найдена уязвимость, которая позволяет удаленному пользователю получить административный доступ к приложению.
Уязвимость существует при обработке входных в HTTP-заголовках. Злоумышленник может указать с помощью POST-запроса в сценарии admin.php специально сформированное значение параметра PHPSESSID и затем использовать этот идентификатор сессии для административного управления сайтом. Удаленный пользователь может послать специально сформированный POST-запрос, содержащий метасимволы в переменной PHPSESSID и получить данные об установочной директории приложения на сервере.
Уязвима программа Hesk 0.93 и более ранние версии. "Дыре" присвоен рейтинг опасности "высокая". Для решения проблемы установите исправленную версию (0.93.1) с сайта производителя, сообщил Securitylab.
Уязвимость существует при обработке входных в HTTP-заголовках. Злоумышленник может указать с помощью POST-запроса в сценарии admin.php специально сформированное значение параметра PHPSESSID и затем использовать этот идентификатор сессии для административного управления сайтом. Удаленный пользователь может послать специально сформированный POST-запрос, содержащий метасимволы в переменной PHPSESSID и получить данные об установочной директории приложения на сервере.
Уязвима программа Hesk 0.93 и более ранние версии. "Дыре" присвоен рейтинг опасности "высокая". Для решения проблемы установите исправленную версию (0.93.1) с сайта производителя, сообщил Securitylab.
Ещё новости по теме:
18:20