В phpMyFAQ найдены множественные уязвимости
Эксперты по информационной безопасности обнаружили множественные уязвимости в phpMyFAQ, которые позволяют удаленному пользователю произвести XSS-нападение, выполнить произвольные SQL-команды и PHP-сценарии на целевой системе.
Возможность SQL-инъекции обнаружена в сценарии /admin/password.php из-за недостаточной обработки входных данных. При выключенной опции PHP magic quotes удаленный пользователь может выполнить произвольные SQL команды на системе.
Удаленный пользователь может произвести XSS-нападение и получить доступ к потенциально важным данным других пользователей. Также удаленный пользователь может выполнить произвольный PHP-сценарий на системе с помощью символов обхода каталога. Кроме того, удаленный пользователь может получить доступ к лог-файлу и данные об установочной директории приложения на сервере.
"Дыре" присвоен ретинг опасности "высокая". Уязвима версия phpMyFAQ 1.5.1. Для использования уязвимости нет эксплойта. Для решения проблемы установите последнюю версию (1.5.2)с сайта производителя, сообщил Securitylab.
Возможность SQL-инъекции обнаружена в сценарии /admin/password.php из-за недостаточной обработки входных данных. При выключенной опции PHP magic quotes удаленный пользователь может выполнить произвольные SQL команды на системе.
Удаленный пользователь может произвести XSS-нападение и получить доступ к потенциально важным данным других пользователей. Также удаленный пользователь может выполнить произвольный PHP-сценарий на системе с помощью символов обхода каталога. Кроме того, удаленный пользователь может получить доступ к лог-файлу и данные об установочной директории приложения на сервере.
"Дыре" присвоен ретинг опасности "высокая". Уязвима версия phpMyFAQ 1.5.1. Для использования уязвимости нет эксплойта. Для решения проблемы установите последнюю версию (1.5.2)с сайта производителя, сообщил Securitylab.
Ещё новости по теме:
18:20