Множественные уязвимости в Yourplace

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, получить доступ к важным данным, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной обработки входных данных в различных параметрах в сценарии internettoolbar/edit.php перед сохранением данных в файл user/internettoolbar/index.php. Удаленный пользователь может с помощью специально сформированного HTTP POST внедрить произвольный PHP код и выполнить его на системе с привилегиями Web сервера.

2. Уязвимость существует из-за отсутствия ограничения доступа к сценарию user/uploads/phpinfo.php. Удаленный пользователь может обратиться непосредственно к сценарию и получить доступ к данным, возвращаемым функцией "phpinfo()".

3. Уязвимость существует из-за отсутствия проверки имени пользователя во время регистрации в сценарии login/register_form.php. Злоумышленик может создать учетную запись и указать в качестве имени пользователя имя существующего пользователя, что не позволит целевому пользователю успешной аутентифицироваться в системе.

4. Уязвимость существует из-за отсутствия ограничения доступа к файлу "user/info/users.txt". Удаленный пользователь может скачать файл и получить доступ к именам пользователей и хешам паролей.

5. Уязвимость существует из-за того, что сценарий internettoolbar/edit.php и возможно другие, продолжают выполняться, когда не способны обнаружить действительное имя пользователя для сессии. Удаленный пользователь может изменить настройки приложения, не имея действительных учетных данных.

URL производителя: yourplace.sourceforge.net

Решение: Способов устранения уязвимости не существует в настоящее время.