Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT
Se reportarón varias vulnerabilidades en phpAdsNew que pueden explotarse para obtener información sensible, realizar ataques de SQL injection, o comprometer un sistema vulnerable.
Pine Digital Security
Maximilian Arciemowicz, SecurityReason.com
| phpAdsNew | < | 2.0.6 |
Se reportarón varias vulnerabilidades en phpAdsNew que pueden explotarse por personas maliciosas para obtener información sensible, realizar ataques de SQL injection, o comprometer un sistema vulnerable.
phpAdsNew utiliza una versión vulnerable de XML-RPC para PHP.
Ver:
Ejecución de código PHP en etiquetas XML anidadas de XML_RPC.
La entrada que se pasa al parámetro "clientid" dentro de lib-view-direct.inc.php no es verificada apropiadamente antes de utilizarse en una petición SQL. Esto puede explotarse para manipular las peticiones SQL inyectando código SQL arbitrario.
Una explotación exitosa requiere MySQL 4.1+ o PostgreSQL.
La entrada que se pasa a ciertos parámetros no es verificada apropiadamente antes de utilizarse para incluir archivos. Esto puede explotarse para agregar archivos, locales, arbitrarios.
SQL Injection.
Manipulación de datos.
Exposición de información sensible.
Acceso al sistema.
Actualizar a la versión 2.0.6.
http://prdownloads.sourceforge.net/phpadsnew/phpAdsNew-2.0.6.tar.gz-download
Mayor información.
http://phpadsnew.com/La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT