Дополнительная информация

Cводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)

phpcms 2008 Remote File Disclosure Vulnerability

[SECURITY] [DSA 1913-1] New bugzilla packages fix SQL injection

[ONSEC-09-018] Twilight CMS XSS

[ONSEC-09-004] Amiro.CMS Multiple XSS

From:	ONSEC
Date:	19 октября 2009 г.
Subject:	[ONSEC-09-005] Amiro.CMS root folder disclosure

http://onsec.ru/vuln?id=12

[ONSEC-09-005] Amiro.CMS root folder disclosure
Цель: Amiro CMS <= 5.4.0.0
Тип: Раскрытие путей
Угроза: Средняя
Дата обнаружения: 01.07.2009
Дата оповещения разработчика: 01.07.2009
Дата выхода исправления: 06.10.2009
Автор: Vladimir Vorontsov
OnSec Russian Security Group (onsec [dot] ru)
Описание: Уязвимость существует из-за некорректной обработки строки имени пользователя для входа в административную консоль. При вводе имени пользователя %%% злоумышленник может получить информацию о полном пути установки приложения, а также некоторые имена внутренних переменных. В следствие того, что функция аварийно завершает работу, администратор не узнает о компрометации системы через модуль "История логинов".

Реализация:

В строке логина административной консоли введите имя пользователя:

%%%

и осуществите попытку входа