Дата публикации: | 12.09.2008 |
Всего просмотров: | 2209 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Раскрытие важных данных Повышение привилегий Обход ограничений безопасности Компрометация системы |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
DotNetNuke 2.x
DotNetNuke 3.x DotNetNuke 4.x |
Уязвимые версии: DotNetNuke, возможно более ранние версии
Описание: 1. Уязвимость существует из-за ошибки проверки подлинности личности пользователя. Удаленный авторизованный пользователь может выступить вместо целевого пользователя и произвести некоторые действия в приложении. Уязвимости существует в версиях 4.4.1 по 4.8.4. 2. Уязвимость существует из-за недостаточной обработки входных данных при включении файлов оболочки. Удаленный пользователь может включить в приложении существующий ascx файл, получить привилегии администратора приложения и выполнить произвольный PHP код на целевой системе с привилегиями Web сервера. Уязвимость существует в версиях 2.0 по 4.8.4. 3. Уязвимость существует из-за недостаточного ограничения доступа к к странице мастера установки. Удаленный пользователь может узнать версию установленного приложения. Уязвимость существует в версиях 4.0 по 4.8.4. URL производителя: www.dotnetnuke.com Решение: Установите последнюю версию 4.9.0 с сайта производителя. |
|
Ссылки: |
http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno21/tabid/1174/Default.aspx http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno22/tabid/1175/Default.aspx http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno23/tabid/1176/Default.aspx |