Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT
Se reportaron varias vulnerabilidades en Subdreamer, que pueden explotarse para realizar ataques de inyección SQL y comprometer un sistema vulnerable.
| Subdreamer | <= | 2.2.1 |
RST/GHC reportó varias vulnerabilidades en Subdreamer, que pueden explotarse por personas maliciosas para realizar ataques de inyección SQL y comprometer un sistema vulnerable.
Varias entradas que se pasan al ingresar al sistema no son verificadas apropiadamente antes de utilizarse en una petición SQL. Esto puede explotarse para manipular las peticiones SQL inyectando código SQL arbitrario.
Además, esto puede explotarse para accesar a la sección de administración donde pueden cargarse y ejecutarse archivos PHP arbitrarios via el panel "Image Manager".
Las vulnerabilidades fuerón reportadas en la versión 2.2.1. Otras versiones también podrían ser afectadas.
Security Bypass.
Manipulación de datos.
Acceso al sistema.
Editar el código fuente para asegurarse que la entrada es verificada apropiadamente.
Mayor información.
http://rst.void.ru/papers/advisory35.txtLa Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT