Archive for the ‘podatnosc’ Tag

PHP-Fusion 7.00.1 (messages.php) Remote SQL Injection Exploit

Opublikowane dzisiaj na milw0rm. Działa przy wyłączonych magic_quotes.

dno

W ostatnim czasie zapanował na milw0rm straszny natłok publikacji. Nic dziwnego, w końcu skończyła się szkoła, ludzie mają więcej czasu na jakieś swoje audyty. Ale niestety ilość publikacji nie idzie w parze z ich jakością. I tak: mamy mnóstwo publikacji błędów w stylu „nieznany-i-nieuzywany CMS Multiple Vulnerabilities” w nieużytecznych skryptach używanych najczęściej na kilku stronach w jakimś Maroku czy Republice Konga. Jest naprawdę mało osób które starają się trochę potrudzić i nie szukać błędów w byle czym.

Może też powinienem zacząć publikować dziennie po 10-12 podatności?

fuzzylime cms <= 3.01 Remote File Inclusion Vulnerability

Sprawdziłem fuzzylime cms pod względem błędów i opublikowałem najważniejszy, który dostrzegłem. Błąd znajduje się w pliku /code/display.php. Wywołany z innego kontekstu, powoduje ze można dołączyć zdalnie plik. Poza tą podatnością znalazłem jeszcze kilka LFI, których na razie nie publikuje.