int(222)

Vulnerability Bulletins


Inyección SQL en PhpNuke

Vulnerability classification

Property Value
Confidence level Probado
Impact Compromiso Root
Dificulty Avanzado
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information

Property Value
Affected manufacturer GNU/Linux
Affected software PHPNuke <= 6.5
PHPNuke 5.x

Description

Se han descubierto gran número de vulnerabilidades en PHPNuke, un sistema de gestión de contenidos programado en PHP. Las vulnerabilidades consisten básicamente en inyección de código SQL.

Si el agente SQL permite utilizar sentencias UNION, puede extraerse cualquier información de la base de datos, como contraseñas de los usuarios, datos personales, etc.

Solution



Actualización de Software
Descarge una versión actualizada de la web del fabricante
http://www.phpnuke.org/

Standar resources

Property Value
CVE CAN-2003-0279
BID

Other resources

BUGTRAQ:PHPNuke SQL Injection
http://marc.theaimsgroup.com/?l=bugtraq&m=105276019312980&w=2

Version history

Version Comments Date
1.0 Aviso emitido 2003-02-24
Ministerio de Defensa
CNI
CCN
CCN-CERT