Boletines de Vulnerabilidades |
Inyección de código SQL en PHP-Nuke |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Integridad |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | Exotic Software |
Software afectado | PHP-Nuke 5.6, 6.0, 6.5, 6.5 RC1, 6.5 RC2, 6.5 RC3 |
Descripción |
|
Se ha detectado una vulnerabilidad que permite inserción de código SQL en algunas versiones de PHP-Nuke. Si la opcion magic_quotes_gpc esta desactivada, un atacante remoto puede hacer una inserción de código SQL en la variable ?op de una petición dirigida a banners.php. Esto permitiría a un atacante remoto añadir, modificar y borrar información. |
|
Solución |
|
Actualización de software Visite la web del fabricante para descargar una versión actualizada http://www.phpnuke.org |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
ISS X-Force:PHP-Nuke banner.php SQL injection http://www.iss.net/security_center/static/11600.php |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2003-03-25 |