Раскрытие данных в MyBB

Дата публикации:
31.12.2009
Дата изменения:
31.12.2009
Всего просмотров:
912
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2009-4448
CVE-2009-4449
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
MyBB (formerly MyBulletinBoard) 1.x
Уязвимые версии: MyBB 1.4.10, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "avatar" при смене аватара перед проверкой наличия файла. Удаленный пользователь может с помощью символов обхода каталога узнать наличие файлов на системе.

Также функция adodb_mktime() в файле inc/functions_time.php может вызывать высокую загрузку процессора при обработке определенных значений.

URL производителя: www.mybboard.net

Решение: Установите последнюю версию 1.4.11 с сайта производителя.

Ссылки: http://blog.mybboard.net/2009/12/29/mybb-1-4-11-released-minor-patch-security-update/
http://dev.mybboard.net/issues/600
http://dev.mybboard.net/issues/617

или введите имя

CAPTCHA