Boletines de Vulnerabilidades |
Inyección SQL en PhpNuke |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Probado |
Impacto | Compromiso Root |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado |
PHPNuke <= 6.5 PHPNuke 5.x |
Descripción |
|
Se han descubierto gran número de vulnerabilidades en PHPNuke, un sistema de gestión de contenidos programado en PHP. Las vulnerabilidades consisten básicamente en inyección de código SQL. Si el agente SQL permite utilizar sentencias UNION, puede extraerse cualquier información de la base de datos, como contraseñas de los usuarios, datos personales, etc. |
|
Solución |
|
Actualización de Software Descarge una versión actualizada de la web del fabricante http://www.phpnuke.org/ |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2003-0279 |
BID | |
Recursos adicionales |
|
BUGTRAQ:PHPNuke SQL Injection http://marc.theaimsgroup.com/?l=bugtraq&m=105276019312980&w=2 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-02-24 |