Множественные уязвимости в Ushahidi

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности на целевой системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в множественных параметрах в множественных сценариях. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Перечень уязвимых сценариев и параметров:
http://[host]/application/controllers/alerts.php?alert_code&code
http://[host]/application/controllers/admin/messages.php?rid
http://[host]/application/models/settings.php
http://[host]/application/controllers/json.php?m
http://[host]/application/libraries/api/MY_Countries_Api_Object.php
http://[host]/application/libraries/api/MY_Checkin_Api_Object.php
http://[host]/application/controllers/admin/messages/reporters.php?s&k
http://[host]/application/models/location.php?id
http://[host]/application/controllers/admin/reports.php?incident_id
http://[host]/application/controllers/members/reports.php?incident_id

2. Уязвимость существует из-за отсутствия проверок аутентификации в сценариях application/libraries/api/MY_Email_Api_Object.php и application/libraries/api/MY_Comments_Api_Object.php при обработке комментариев, отчетов и email API вызовов. Удаленный пользователь может обойти ограничения безопасности на целевой системе.

3. Уязвимость существует из-за ошибки в сценарии application/libraries/api/MY_Comments_Api_Object.phpпри обработке комментариев. Удаленный пользователь может раскрыть важные данные на целевой системе.

4. Уязвимость существует из-за недостаточной обработки входных данных в теге page title в сценарии application/views/admin/layout.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://ushahidi.com/

Решение: Для устранения уязвимости установите исправление с GIT репозитория.