Коментарі для запису: Уразливості в PHP-Nuke http://websecurity.com.ua/2119/ Mon, 04 May 2026 09:54:03 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/2119/#comment-145606 Sun, 22 Jun 2008 20:54:51 +0000 http://websecurity.com.ua/2119/#comment-145606 <strong>WerM_RolenT</strong> <blockquote>а где сам эксплоит</blockquote> Эксплоит будет опубликован когда придёт время (я всегда даю время разработчикам на исправление уязвимостей, которые нахожу). Ты явно впервые зашёл ко мне на сайт, раз задаёшь такой вопрос :-). Т.к. я всегда делаю вначале анонс уязвимостей (за редким исключением, когда оправдана изначальная публикация деталей уязвимостей, например в моих проектах <a href="/category/moseb/" rel="nofollow">MOSEB</a> и <a href="/category/mobic/" rel="nofollow">MoBiC</a>), и лишь через некоторое время публикую детали (такой у меня подход, который я использую в течении двух лет работы моего сайта). В случае данных уязвимостей в PHP-Nuke, я планирую опубликовать их в ближайшее время. <blockquote>а то сказать я нашёл- любой может</blockquote> Я - не любой. И я пишу только о реальных уязвимостях, которые я нашёл (и многократно проверяю все найденные мною уязвимости: при нахождении их, перед анонсом и перед публикацией деталей). И за 2 года работы своего веб проекта я писал только о реальных уязвимостях, поэтому ни у кого не должно быть сомнений (и несерьёзных заявлений) по этому поводу. <blockquote>где факты?</blockquote> Факты будут приведены, когда я опубликую детали (а разработчикам я стараюсь давать достаточно времени на исправление). Помимо основного разработчика PHP-Nuke, я также выслал детали KrasivayaSvo (который занимается разработкой русской версии движка). И он проверил данные уязвимости на разных версиях нюка и разработал к ним патч - о чём он написал в комментариях (за день до твоего сообщения). Прочитать его комент и сделать выводы тебе было сложно? Его ответ, как и ранее опубликованные мною Insufficient Anti-automation уязвимости в движке, красноречево подтверждают реальность данных уязвимостей, поэтому твои сомнения безосновательны. Кстати, если ты очень хочешь взглянуть на эксплоиты для PHP-Nuke ;-), то ты можешь ознакомиться с <a href="/1527/" rel="nofollow">эксплоитами</a>, что я <a href="/1528/" rel="nofollow">опубликовал</a> в MoBiC. WerM_RolenT

а где сам эксплоит

Эксплоит будет опубликован когда придёт время (я всегда даю время разработчикам на исправление уязвимостей, которые нахожу). Ты явно впервые зашёл ко мне на сайт, раз задаёшь такой вопрос :-) . Т.к. я всегда делаю вначале анонс уязвимостей (за редким исключением, когда оправдана изначальная публикация деталей уязвимостей, например в моих проектах MOSEB и MoBiC), и лишь через некоторое время публикую детали (такой у меня подход, который я использую в течении двух лет работы моего сайта). В случае данных уязвимостей в PHP-Nuke, я планирую опубликовать их в ближайшее время.

а то сказать я нашёл- любой может

Я - не любой. И я пишу только о реальных уязвимостях, которые я нашёл (и многократно проверяю все найденные мною уязвимости: при нахождении их, перед анонсом и перед публикацией деталей). И за 2 года работы своего веб проекта я писал только о реальных уязвимостях, поэтому ни у кого не должно быть сомнений (и несерьёзных заявлений) по этому поводу.

где факты?

Факты будут приведены, когда я опубликую детали (а разработчикам я стараюсь давать достаточно времени на исправление). Помимо основного разработчика PHP-Nuke, я также выслал детали KrasivayaSvo (который занимается разработкой русской версии движка). И он проверил данные уязвимости на разных версиях нюка и разработал к ним патч - о чём он написал в комментариях (за день до твоего сообщения).

Прочитать его комент и сделать выводы тебе было сложно? Его ответ, как и ранее опубликованные мною Insufficient Anti-automation уязвимости в движке, красноречево подтверждают реальность данных уязвимостей, поэтому твои сомнения безосновательны. Кстати, если ты очень хочешь взглянуть на эксплоиты для PHP-Nuke ;-) , то ты можешь ознакомиться с эксплоитами, что я опубликовал в MoBiC.

]]> від: MustLive http://websecurity.com.ua/2119/#comment-134599 Sat, 31 May 2008 20:47:29 +0000 http://websecurity.com.ua/2119/#comment-134599 <strong>KrasivayaSvo</strong> Спасибо, что оперативно проверил данные XSS уязвимости на разных версиях движка и установил уязвимые версии PHP-Nuke. К тому же, помимо подтверждения уязвимостей и определения уязвимых версий движка, ты ещё и патч оперативно сделал ;-). Молодец, тебе стоит активно заняться вопросами безопасности PHP-Nuke (начать курировать данные вопросы) и не только в Рунете, но во всём Интернете. Т.к. до сих пор, после моего поста 19.05.2008, Francisco так мне и не ответил. И соответственно не исправил данные дыры в официальной версии движка (и не уведомил пользователей PHP-Nuke). Так что ты в этом отношении более оперативен. И всегда пожалуйста. Кстати, недавно я написал об <a href="/2151/" rel="nofollow">уязвимости в AutoHTML для PHP-Nuke</a>, на которую также можешь обратить внимание. KrasivayaSvo

Спасибо, что оперативно проверил данные XSS уязвимости на разных версиях движка и установил уязвимые версии PHP-Nuke.

К тому же, помимо подтверждения уязвимостей и определения уязвимых версий движка, ты ещё и патч оперативно сделал ;-) . Молодец, тебе стоит активно заняться вопросами безопасности PHP-Nuke (начать курировать данные вопросы) и не только в Рунете, но во всём Интернете. Т.к. до сих пор, после моего поста 19.05.2008, Francisco так мне и не ответил. И соответственно не исправил данные дыры в официальной версии движка (и не уведомил пользователей PHP-Nuke). Так что ты в этом отношении более оперативен.

И всегда пожалуйста. Кстати, недавно я написал об уязвимости в AutoHTML для PHP-Nuke, на которую также можешь обратить внимание.

]]> від: WerM_RolenT http://websecurity.com.ua/2119/#comment-131707 Sat, 24 May 2008 05:23:06 +0000 http://websecurity.com.ua/2119/#comment-131707 а где сам эксплоит а то сказать я нашёл- любой может где факты? а где сам эксплоит
а то сказать я нашёл- любой может
где факты?

]]> від: KrasivayaSvo http://websecurity.com.ua/2119/#comment-130776 Fri, 23 May 2008 08:55:39 +0000 http://websecurity.com.ua/2119/#comment-130776 Уязвимости подвержены PHP-Nuke версий 7.7 и 8.1 (и возможно раньше 7.5). Для исправления уязимости в index.php модуля Your_Account в функции confirmNewUser после include("config.php"); необходимо вставить строки $random_num=intval($_POST['random_num']); $gfx_check=intval($_POST['gfx_check']); Спасибо MustLive за найденную уязвимость. Уязвимости подвержены PHP-Nuke версий 7.7 и 8.1 (и возможно раньше 7.5).
Для исправления уязимости в index.php модуля Your_Account в функции confirmNewUser после
include(”config.php”);
необходимо вставить строки
$random_num=intval($_POST[’random_num’]);
$gfx_check=intval($_POST[’gfx_check’]);

Спасибо MustLive за найденную уязвимость.

]]>