Множественные уязвимости в concrete5

Описание:
Обнаруженные уязвимости позволяют уделенному пользователю обойти ограничения безопасности на целевой системе.

1. Уязвимость существует из-за недостаточной проверки Form block при перенаправлении пользователей. Удаленный пользователь может перенаправить жертву на сторонний ресурс.

2. Уязвимость существует из-за того, что приложение предоставляет недостаточный доступ к index.php/tools/required/files/properties. Удаленный пользователь, который знает точный URL нужного элемента, может получить доступ к ограниченным ресурсам.

Примечание: Для успешной эксплуатации № 2 требуется доступ к функции File Properties, включенный для пользователей группы Guest по умолчанию.

3. Уязвимость существует из-за ошибки обработки входных данных в параметре в movieName файле swfupload.swf. С подробным описанием уязвимости можно ознакомиться по адресу:
www.securitylab.ru/vulnerability/426638.php

4. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

5. Уязвимость существует из-за недостаточной обработки входных данных в the Autonav Preview. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

URL производителя: http://www.concrete5.org/

Решение: Для устранения уязвимостей установите продукт версии 5.6.0 с сайта производителя.