Vulnerability Bulletins |
Inyección de código SQL en PHP-Nuke |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Integridad |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | Exotic Software |
Affected software | PHP-Nuke 5.6, 6.0, 6.5, 6.5 RC1, 6.5 RC2, 6.5 RC3 |
Description |
|
Se ha detectado una vulnerabilidad que permite inserción de código SQL en algunas versiones de PHP-Nuke. Si la opcion magic_quotes_gpc esta desactivada, un atacante remoto puede hacer una inserción de código SQL en la variable ?op de una petición dirigida a banners.php. Esto permitiría a un atacante remoto añadir, modificar y borrar información. |
|
Solution |
|
Actualización de software Visite la web del fabricante para descargar una versión actualizada http://www.phpnuke.org |
|
Standar resources |
|
Property | Value |
CVE | |
BID | |
Other resources |
|
ISS X-Force:PHP-Nuke banner.php SQL injection http://www.iss.net/security_center/static/11600.php |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2003-03-25 |