Множественные уязвимости в Mahara

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести XSS нападение, выполнить произвольные SQL команды в базе данных приложения и получить доступ к важным данным.

1. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. XSS уязвимость существует из-за ошибки в строенном HTML Purifier. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/395477.php

3. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение и изменить некоторые данные в приложении.

4. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Уязвимости подвержены версии до 1.1.9 и 1.2.5.

5. Уязвимость существует из-за ошибки в механизме аутентификации при обработке попыток входа для учетных записей с Single-Sign-On (SSO). Удаленный пользователь может отправить приложению имя существующего пользователя и пустой пароль и получить доступ к приложению.

URL производителя: www.mahara.org

Решение: Установите последнюю версию 1.0.15, 1.1.9 или 1.2.5 с сайта производителя.