Новости: SQL-инъекция в PHP-Fusion

SQL-инъекция в PHP-Fusion

23.02.2013 11:31
jikaka
Безопасность

На днях была выявлена уязвимость в PHP-Fusion, которая позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в куки файлах "user" и "admin" в сценарии, к примеру, news.php в includes/classes/Authenticate.class.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Версии подверженные уязвимости: v7.02.01 - v7.02.05

Настоятельно рекомендуется обновиться до последней версии 7.02.06!

PS Уязвимости предположительно не подвержены версии с magic_quotes ON (не проверено на опыте - кто проверит?) , но это не значит что можно ничего не делать - PolarFox.

Печать
39 Комментариев
3688 Прочтений

Поделиться этой новостью
Социальные закладки:
URL:
BBcode:
HTML:

#21 | KaneKRY 23.02.2013 17:29

Отсутствует
Пользователь
Активный
С 05.02.2013 10:40

Serge Renard пишет:
Кстати, да - пытался зайти, получил 403-ю.
У меня 7.02.06 - можно не беспокоиться? Собственно, в интернетах-то пока и нет ничего - тестирую и довожу до ума локально.

Беспокоя, у меня была последняя версия. Сайты на PHP-Fusion навернулись. Пол дня поднимали. При этом нет ни какой уверенности, что завтра всё опять не взламают.

#22 | Pisatel 24.02.2013 07:34

Отсутствует
Пользователь
Активный
С 08.02.2013 05:51

Jikaka, на офсайте у буржуев идет какое-то обсуждение файла viewpage.php. Плохо понимаю на инглише, нужен толмач. Однако там речь о гет- запросах, поэтому и насторожило. Еще поиск вывел вот на это чудо, че это- я не понял, но viewpage.php у себя пока убрал на всякий пожарный, все равно не пользуюсь:-)

Переполз на WP, но PF - это как первая любовь, которая не забывается...

#23 | jikaka 24.02.2013 08:35

Отсутствует
Супер Администратор
Активный
С 26.07.2010 12:10

Pisatel, именно это и внедряют

мысли | фото

#24 | jikaka 24.02.2013 08:42

Отсутствует
Супер Администратор
Активный
С 26.07.2010 12:10

в связи с тем, что здесь немного неудобно вести диалог, создана тема, прошу писать теперь именно там: http://rusfusion....ad_id=1335

мысли | фото

#25 | Serge Renard 24.02.2013 18:06

Отсутствует
Пользователь
Активный
С 18.02.2013 18:46

Pisatel, судя по коду viewpage.php в 7.02.06 - нормально там должно быть с GET-запросами... передаваемые значения проверяются, как и положено. Или я что-то упустил?

P.S. Сорри, что тут отписался, а не на форуме - иначе не очень понятно было бы, на что ответ.

В Интернете кто-то неправ!

#26 | Zaxap 24.02.2013 21:33

Отсутствует
Пользователь
Активный
С 05.09.2012 10:32

вирус . /home/radiuskz/public_html/administration/seoDyHi.php

SEO Духи . пхп

Зло не дремлет, а я добрый...

#27 | SchreiBear 26.02.2013 11:06

Отсутствует
Пользователь
Активный
С 05.01.2013 11:01

Вот именно это чудо! во первых прошу посмотреть где это чудо описано(http://pastebin.com/), а во вторых кем(By: a guest on Feb 22nd, 2013). ЭТО Witz. Знаете сколько я вам сейчас таких уязвимость при помощи этой страницы вы виду, закачаетесь .кто то просто прикололся. для себя считаю эту тему закрытой. P.S. пихайте по меньше Java в страницы чистый PHP уязвимостей почти не имеет

Нужно сказать огромное спасибо людям, которые живут на популярных девелопер форумах и дают там адекватные ответы на абсолютно «нубские» вопросы без попыток унизить вопрошающего.

#28 | Vova 26.02.2013 17:14

Отсутствует
Пользователь
Активный
С 05.08.2011 11:53

Знал про нее еще давно.

Мои сайты: ABCVG.com / Допомога учням / ГДЗ / 8Gamers - Игровой портал / Мониторинг CS / Мониторинг игровых серверов / Хостинг от ABCVG.net

#29 | jikaka 27.02.2013 06:10

Отсутствует
Супер Администратор
Активный
С 26.07.2010 12:10

но как партизан молчал

мысли | фото

#30 | styxjoe 27.02.2013 07:32

Отсутствует
Пользователь
Активный
С 27.02.2013 07:30

Блин, мужики, у меня легли 2 сайта( Хостер сделал откат на предыдущую атаке дату, и рекомендует следующее:
Обратите внимание, что вероятно вредоносные скрипты на Вашем аккаунте были размещены при помощи уязвимости в скрипте administration/custom_pages.php, данная уязвимость не исправлена в новой версии используемого Вами приложения.
По этой причине, после выполнения необходимых работ, нужно ограничить доступ к данному скрипту. Например, при помощи файла .htaccess.

Страница 3 из 4: 1 234

Добавить комментарий

Пожалуйста, залогиньтесь для добавления комментария.

Рейтинги

5 (Отлично!) - 2 Голоса Рейтинг доступен только для пользователей. Пожалуйста, авторизуйтесьили зарегистрируйтесь для голосования.

Гости:
[Ваш IP]	07:27:39
/Новости
47.128.125.237	07:27:36
/Поиск
47.128.112.180	07:25:59
/Поиск
69.162.124.230	07:25:56