Boletines de Vulnerabilidades |
Inyección de código SQL en PHP-Nuke |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Integridad |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | Exotic Software |
| Software afectado | PHP-Nuke 5.6, 6.0, 6.5, 6.5 RC1, 6.5 RC2, 6.5 RC3 |
Descripción |
|
|
Se ha detectado una vulnerabilidad que permite inserción de código SQL en algunas versiones de PHP-Nuke. Si la opcion magic_quotes_gpc esta desactivada, un atacante remoto puede hacer una inserción de código SQL en la variable ?op de una petición dirigida a banners.php. Esto permitiría a un atacante remoto añadir, modificar y borrar información. |
|
Solución |
|
|
Actualización de software Visite la web del fabricante para descargar una versión actualizada http://www.phpnuke.org |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
ISS X-Force:PHP-Nuke banner.php SQL injection http://www.iss.net/security_center/static/11600.php |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2003-03-25 |