Множественные уязвимости в PHP Live Helper

Дата публикации:
20.08.2008
Всего просмотров:
5547
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-3762
CVE-2008-3763
CVE-2008-3764
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PHP Live Helper 2.x
Уязвимые версии: PHP Live Helper 2.0.1, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольные SQL команды в базе данных приложения, получить доступ к важным данным и скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "dep" в сценарии onlinestatus_html.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

2. Уязвимость существует из-за недостаточной проверки входных данных в сценарии libsecure.php. Удаленный пользователь может перезаписать переменные в конфигурационном файле для подключения к базе данных и выполнить произвольный PHP код. Для успешной эксплуатации уязвимости опция "register_globals" должна быть включена в конфигурационном файле PHP.

3. Уязвимость существует из-за недостаточной проверки входных данных перед вызовом функции "eval()" в параметре "test" в сценарии chat.php, когда параметр "rg" установлен в значение "0". Удаленный пользователь может выполнить произвольный PHP код на целевой системе.

URL производителя: www.phplivehelper.com

Решение: Установите последнюю версию 2.1.0 с сайта производителя.

или введите имя

CAPTCHA