Miembros de
Boletines de Vulnerabilidades |
Publicación actualización de seguridad de Movable Type |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Ejecucion remota de codigo |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | Versiones 4.2.x, 4.3.x |
Descripción |
|
|
Movable Type es una herramienta web desarrollada como software libre destinada a la creación y publicación de weblogs. El weblogger, a la hora de usar este software, ha de disponer de un servicio de hospedaje y un servidor web que soporte bases de datos. Se ha detectado un problema de actualización de Movable Type-opensource, usando peticiones cuidadosamente elaborado para el archivo mt-upgrade.cgi, sería posible inyectar comandos y consultas de SQL. |
|
Solución |
|
|
Descargar los parches de seguridad. Actualizar a la versión 4.3.8. Visitar el siguiente link: http://packages.debian.org/search?searchon=sourcenames&keywords=movabletype-opensource |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2013-0209 |
| BID | |
Recursos adicionales |
|
|
SecLists http://seclists.org/bugtraq/2013/Jan/89 Página Debian http://www.debian.org/security/2013/dsa-2611 National vulnerability Database http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0209 Página Movable Type http://www.movabletype.org/2013/01/movable_type_438_patch.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2013-01-28 |