Множественные уязвимости в DotNetNuke
| Дата публикации: | 12.09.2008 |
| Всего просмотров: | 2199 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Раскрытие важных данных Повышение привилегий Обход ограничений безопасности Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
DotNetNuke 2.x
DotNetNuke 3.x DotNetNuke 4.x |
| Уязвимые версии: DotNetNuke, возможно более ранние версии
Описание: 1. Уязвимость существует из-за ошибки проверки подлинности личности пользователя. Удаленный авторизованный пользователь может выступить вместо целевого пользователя и произвести некоторые действия в приложении. Уязвимости существует в версиях 4.4.1 по 4.8.4. 2. Уязвимость существует из-за недостаточной обработки входных данных при включении файлов оболочки. Удаленный пользователь может включить в приложении существующий ascx файл, получить привилегии администратора приложения и выполнить произвольный PHP код на целевой системе с привилегиями Web сервера. Уязвимость существует в версиях 2.0 по 4.8.4. 3. Уязвимость существует из-за недостаточного ограничения доступа к к странице мастера установки. Удаленный пользователь может узнать версию установленного приложения. Уязвимость существует в версиях 4.0 по 4.8.4. URL производителя: www.dotnetnuke.com Решение: Установите последнюю версию 4.9.0 с сайта производителя. |
|
| Ссылки: |
http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno21/tabid/1174/Default.aspx http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno22/tabid/1175/Default.aspx http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno23/tabid/1176/Default.aspx |