Новости: SQL-инъекция в PHP-Fusion

SQL-инъекция в PHP-Fusion

23.02.2013 11:31
jikaka
Безопасность

На днях была выявлена уязвимость в PHP-Fusion, которая позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в куки файлах "user" и "admin" в сценарии, к примеру, news.php в includes/classes/Authenticate.class.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Версии подверженные уязвимости: v7.02.01 - v7.02.05

Настоятельно рекомендуется обновиться до последней версии 7.02.06!

PS Уязвимости предположительно не подвержены версии с magic_quotes ON (не проверено на опыте - кто проверит?) , но это не значит что можно ничего не делать - PolarFox.

Печать
39 Комментариев
3690 Прочтений

Поделиться этой новостью
Социальные закладки:
URL:
BBcode:
HTML:

#11 | alastor 23.02.2013 14:50

Отсутствует
Пользователь
Активный
С 20.08.2010 18:39

Обновил двиг и все полетело к чертям. изменения толкьо в папке classes ?

Делаю дизайн для Php Fusion.
Обращаться в лс

#12 | RomkaJej 23.02.2013 15:00

Отсутствует
Пользователь
Заблокированный
С 16.12.2012 19:25

на*** пошли, ***ки
не пишите мне на почту, дауны

#13 | Polarfox 23.02.2013 15:15

Отсутствует
Администратор
Активный
С 20.08.2010 14:03

Это не первый случай на самом деле, потому я за пару нововведений... но это другая история.

А вообще при чистом обновлении все ок.

Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме

#14 | alastor 23.02.2013 15:21

Отсутствует
Пользователь
Активный
С 20.08.2010 18:39

Так достаточно ли будет если я просто заменю папку classes ? у меня версия 7.02.05

Делаю дизайн для Php Fusion.
Обращаться в лс

#15 | Polarfox 23.02.2013 15:49

Отсутствует
Администратор
Активный
С 20.08.2010 14:03

Там один файл, в принципе, желательно еще форум заменить.
Вообще не должно быть косяков если заменить все файлы, даже с 7.02.03 или типа того.

#16 | jikaka 23.02.2013 16:03

Отсутствует
Супер Администратор
Активный
С 26.07.2010 12:10

Кстати, вчера в районе 8 вечера данный сайт был атакован, в связи с чем был заблокирован на полчаса, т.к. валил спам тонной

мысли | фото

#17 | Serge Renard 23.02.2013 16:08

Отсутствует
Пользователь
Активный
С 18.02.2013 18:46

Кстати, да - пытался зайти, получил 403-ю.
У меня 7.02.06 - можно не беспокоиться? Собственно, в интернетах-то пока и нет ничего - тестирую и довожу до ума локально.

В Интернете кто-то неправ!

#18 | jikaka 23.02.2013 16:10

Отсутствует
Супер Администратор
Активный
С 26.07.2010 12:10

Боюсь, что и последняя версия имеет дыру

мысли | фото

#19 | Pisatel 23.02.2013 16:51

Отсутствует
Пользователь
Активный
С 08.02.2013 05:51

Етить-колотить... Включаем deny from all??!

Переполз на WP, но PF - это как первая любовь, которая не забывается...

#20 | Grave14 23.02.2013 17:00

Отсутствует
Пользователь
Активный
С 23.02.2013 04:28

Позавчера хостер блокировал один сайт, из-за того, что на сайте спаерская фиговина обнаружена...

вирус . /home/radiuskz/public_html/administration/seoDyHi.php

Обновил до 06 - бум смотреть...

-------------------

Страница 2 из 4: 123 4

Добавить комментарий

Пожалуйста, залогиньтесь для добавления комментария.

Рейтинги

5 (Отлично!) - 2 Голоса Рейтинг доступен только для пользователей. Пожалуйста, авторизуйтесьили зарегистрируйтесь для голосования.

Гости:
[Ваш IP]	09:25:15
/Новости
18.226.177.223	09:25:05
/Поиск
3.140.186.241	09:24:45
/moddb/error.php
3.135.185.194	09:24:43
/Поиск
47.128.111.193	09:24:30
/Поиск
18.221.53.209	09:24:28
/Поиск
47.128.115.152	09:24:05
/Поиск
69.162.124.230	09:23:14