Vulnerability Bulletins |
Vulnerabilidad en Invision Power Board |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | Comercial Software |
Affected software |
IP.Board 3.1.x IP.Board 3.2.x IP.Board 3.3.x |
Description |
|
Se ha descubierto una vulnerabilidad en Invision Power Board concretamente en los archivos admin/sources/base/core.php al utilizar la función "unserialize()" con entrada controlada por el usuario. Un atacante remoto podría aprovechar esta vulnerabilidad para ejecutar código malicioso mediante la creación de un archivo malintencionado. Para una explotación exitosa se requiere que el "short_open_tag" esté habilitado. | |
Solution |
|
Se recomienda aplicar la actualización publicada por el fabricante. | |
Standar resources |
|
Property | Value |
CVE | CVE-2012-5692 |
BID | bid/56288 |
Other resources |
|
IPS Community - IP.Board 3.1.x, 3.2.x and 3.3.x Critical Security Update http://community.invisionpower.com/topic/371625-ipboard-31x-32x-and-33x-critical-security-update/ Secunia Advisory SA51104 IP.Board "unserialize()" PHP Code Execution Vulnerability http://secunia.com/advisories/51104 SecurityFocus - Invision Power Board 'core.php' PHP Code Execution Vulnerability http://www.securityfocus.com/bid/56288 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2012-11-06 |