Несколько уязвимостей в Centre

Дата публикации:04.07.2004
Всего просмотров:881
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: The Miller Group Centre 1.x
Уязвимые версии: Centre 1.0

Описание: Несколько уязвимостей в Centre позволяют удаленному пользователю выполнить SQL инъекцию и получить административный доступ к приложению. Производитель отрицает наличие 2х из 3х обнаруженных уязвимостей.

1. Неавторизованный доступ:

 http://demo.miller-group.net/index.php?modfunc=create_account&staff&username=admin&staff_id=new
(Производитель отрицает эту уязвимость).

2. SQL инъекция в различных модулях. (Производитель отрицает эту уязвимость).

3. Выполнение произвольного PHP кода:

Modules.php?modname=../../../MyCode/Stuff.php

Решение: http://www.miller-group.net/

Решение: Установите обновленную версию программы (1.0.1).

Ссылки: Centre 1.0 PHP injection, bypass authentication + possible SQL injection.