PHPNuke Множественные Уязвимости в Модулях
Описание:
В PHPNuke найдены многократные уязвимости, затрагивающей различные модули. Затронутые модули: 'Search', 'FAQ' и 'Encyclopedia'. И так же 'banners.php'. Нападавший может эксплуатировать эти уязвимости, создавая злонамеренную ссылку, содержащую HTML и XSS атаку. При помощи этой уязвимости, злоумышленник может присвоить себе права администратора, так же возможна подстройка куков. Были затронуты PHPNuke 7.6 и предшествующие версии. Устранение уязвимости: Открываем modules/Search/index.php Находим: PHP код:
Ниже добавляем: PHP код:
Открываем modules/FAQ/index.php Находим: PHP код:
Ниже добавляем: PHP код:
Открываем modules/Encyclopedia/index.php Находим: PHP код:
Ниже добавляем: PHP код:
Открываем modules/Your_Account/index.php Находим: PHP код:
Выше добавляем: PHP код:
Открываем banners.php Находим: PHP код:
Ниже добавляем: PHP код:
Уязвимость устранена :cool: |
Тут неожиданно обнаружились еще несколько багов, так что и фиксим их.
Открываем banners.php Находим: PHP код:
Ниже добавляем: PHP код:
Проверьте пофиксили ли вы в свое время этот баг http://forum.mynuke.ru/showthread.php?t=22 Откройте modules/Web_Links/index.php Найдите: PHP код:
Выше добавьте: PHP код:
Откройте modules/Your_Account/index.php Найдите: PHP код:
Измените на: PHP код:
Откройте modules/Surveys/comments.php Найдите: PHP код:
Заменяем на: PHP код:
Открываем themes/Ваша_тема/theme.php Найдите: PHP код:
Замените на: PHP код:
И эти баги устранены :breton: |
Просто не вероятно, еще найдены уязвимости, фиксим их
Открываем modules/Your_Account/index.php Находим: PHP код:
Ниже добавляем: PHP код:
Найдите: PHP код:
Замените: PHP код:
Найдите: PHP код:
Ниже добавьте: PHP код:
Откройте modules/Downloads/index.php Найдите: PHP код:
Ниже добавьте: PHP код:
Откройте modules/Surveys/index.php Найдите: PHP код:
Ниже добавьте: PHP код:
И самое главное!! откройте фаил mainfile.php и после <?php ниже добавьте PHP код:
тем самым вы запретите вывод любых ошибок на сайте, что предотвратит выявления полного пути к вашей дирректории! |
SQL - инъекция в модуле Top PHP-NUKE v7.6
Описание:
Найдена критическая уязвимость в модуле Top PHP-Nuke 7.6 (и ниже). Была допущена ошибка в названии переменной, в замен $queryplang в базу добавлялась переменнвя $querylang (отличие одной буквой "p"), которая была не определена не кем и не чем и следовательно не проверялась. Данная уязвимость позволяет злоумышленнику выполнить sql-инъекцию. Устраняем уязвимость: Откройте modules/Top/index.php Найдите: PHP код:
Замените на: PHP код:
|
Часовой пояс GMT +4, время: 13:49. |
Copyright © 2005 by Soniks