int(222)

Boletines de Vulnerabilidades


Inyección SQL en PhpNuke

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Probado
Impacto Compromiso Root
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricant afectat GNU/Linux
Software afectado PHPNuke <= 6.5
PHPNuke 5.x

Descripción

Se han descubierto gran número de vulnerabilidades en PHPNuke, un sistema de gestión de contenidos programado en PHP. Las vulnerabilidades consisten básicamente en inyección de código SQL.

Si el agente SQL permite utilizar sentencias UNION, puede extraerse cualquier información de la base de datos, como contraseñas de los usuarios, datos personales, etc.

Solución



Actualización de Software
Descarge una versión actualizada de la web del fabricante
http://www.phpnuke.org/

Identificadores estándar

Propiedad Valor
CVE CAN-2003-0279
BID

Recursos adicionales

BUGTRAQ:PHPNuke SQL Injection
http://marc.theaimsgroup.com/?l=bugtraq&m=105276019312980&w=2

Histórico de versiones

Versión Comentario Data
1.0 Aviso emitido 2003-02-24
Ministerio de Defensa
CNI
CCN
CCN-CERT