Websecurity - Веб безпека

У березні, 24.03.2009, я знайшов Code Execution уразливість в Openads. Це популярна локальна банерна система (що раніше називалася phpAdsNew, потім змінила назву на Openads, а зараз змінила назву на OpenX).

В Openads v2.4.0 та Openads v2.4.2 є можливість завантажувати скрипти, зокрема php. Що призводить до Code Execution уразливості (в тому числі можливий shell upload). При завантаженні банера не перевіряється його розширення. В останніх версіях додатку уразливість вже виправлена, але дуже дивно, що вона існувала в цьому движку на протязі багатьох років.

Уразливі Openads v2.4.2 та попередні версії Openads (та всі версії phpAdsNew і phpPgAds). Також потенційно можуть бути вразливі ранні версії OpenX. Версія OpenX v2.4.7 вже не вразлива.

This entry was posted on 23:52 07.04.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.