Websecurity - Веб безпека

10.07.2010

У жовтні, 10.10.2009, я знайшов Arbitrary File Uploading та Code Execution уразливості в CMS WebManager-Pro. Дані уразливості я виявив на різних сайтах на даній CMS. Уразливі як оригінальна CMS WebManager-Pro, так і версія CMS WebManager-Pro від FGS_Studio. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в CMS WebManager-Pro.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

02.10.2010

Arbitrary File Uploading:

В адмінці в розділі “файлы” (http://site/admin/files.php) можливе завантаження будь-яких файлів.

Code Execution:

В адмінці в розділі “файлы” (http://site/admin/files.php) можливе завантаження php-скриптів. Це стосується всіх версій CMS WebManager-Pro від FGS_Studio, а також версій WebManager-Pro від WebManager до 7.0 включно. Але зустрічаються сайти з даною CMS версії 7.0 і вище, де зроблений захист (на рівні сайта) від виконання php-скриптів, в такому випадку можливий лише Arbitrary File Uploading.

Уразливі дві системи CMS WebManager-Pro від двох розробників. Уразливі версії CMS WebManager-Pro v.7.0 (версія від WebManager) та попередні версії, а також CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.

Обидва розробники проігнорували мої повідомлення і не виправили дані уразливості. Але на багатьох сайтах з CMS від WebManager ситуація краща ніж на сайтах з CMS від другого розробника.

This entry was posted on 15:17 02.10.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.