Vulnerability Bulletins |
Publicación actualización de seguridad de Movable Type |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Ejecucion remota de codigo |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | Versiones 4.2.x, 4.3.x |
Description |
|
|
Movable Type es una herramienta web desarrollada como software libre destinada a la creación y publicación de weblogs. El weblogger, a la hora de usar este software, ha de disponer de un servicio de hospedaje y un servidor web que soporte bases de datos. Se ha detectado un problema de actualización de Movable Type-opensource, usando peticiones cuidadosamente elaborado para el archivo mt-upgrade.cgi, sería posible inyectar comandos y consultas de SQL. |
|
Solution |
|
|
Descargar los parches de seguridad. Actualizar a la versión 4.3.8. Visitar el siguiente link: http://packages.debian.org/search?searchon=sourcenames&keywords=movabletype-opensource |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2013-0209 |
| BID | |
Other resources |
|
|
SecLists http://seclists.org/bugtraq/2013/Jan/89 Página Debian http://www.debian.org/security/2013/dsa-2611 National vulnerability Database http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0209 Página Movable Type http://www.movabletype.org/2013/01/movable_type_438_patch.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2013-01-28 |