В PHPKIT найдены опасные уязвимости - «Интернет»
sitename
FromSoftware подтвердила дату выхода Elden Ring: Tarnished Edition для Nintendo Switch 2 и платное дополнение для других платформ - «Новости сети»
FromSoftware подтвердила дату выхода Elden Ring: Tarnished Edition для Nintendo Switch 2 и платное дополнение для других платформ - «Новости сети»
 Anthropic предложила механизм экстренного торможения для развития ИИ - «Новости сети»
Anthropic предложила механизм экстренного торможения для развития ИИ - «Новости сети»
 Google начала развёртывать Gemini Avatar — технологию, которая создаёт пугающе реалистичных цифровых двойников - «Новости сети»
Google начала развёртывать Gemini Avatar — технологию, которая создаёт пугающе реалистичных цифровых двойников - «Новости сети»
 Астрологи в восторге: новый патч для Heroes of Might & Magic: Olden Era починил понедельники - «Новости сети»
Астрологи в восторге: новый патч для Heroes of Might & Magic: Olden Era починил понедельники - «Новости сети»
 AMD отобрала у Intel треть рынка x86-процессоров, пока рынок настольных CPU рухнул на 20 % - «Новости сети»
AMD отобрала у Intel треть рынка x86-процессоров, пока рынок настольных CPU рухнул на 20 % - «Новости сети»
 Яндекс обновил Алису AI: помощник получил новые инструменты для работы с фото и покупками - «Новости мира Интернет»
Яндекс обновил Алису AI: помощник получил новые инструменты для работы с фото и покупками - «Новости мира Интернет»
 Acer представили несколько новых устройств - «Новости мира Интернет»
Acer представили несколько новых устройств - «Новости мира Интернет»
 Яндекс создал инструмент управления показами контента в Поиске для сервисов объявлений - «Новости мира Интернет»
Яндекс создал инструмент управления показами контента в Поиске для сервисов объявлений - «Новости мира Интернет»
 В Google Analytics добавили отдельное отображение трафика из ChatGPT и Claude - «Новости мира Интернет»
В Google Analytics добавили отдельное отображение трафика из ChatGPT и Claude - «Новости мира Интернет»
 Что нового показали на Google I/O 2026. Часть 1 - «Новости мира Интернет»
Что нового показали на Google I/O 2026. Часть 1 - «Новости мира Интернет»
Новости мира Интернет » Новости » Новости мира Интернет » В PHPKIT найдены опасные уязвимости - «Интернет»

✔В PHPKIT найдены опасные уязвимости - «Интернет»

19 марта 2024 1 102 Новости / Новости мира Интернет 0

Эксперты по информационной безопасности обнаружили множественные уязвимости в программе PHPKIT, которые позволяют удаленному пользователю произвести SQL-инъекцию, XSS-нападение и выполнить произвольный PHP-сценарий на целевой системе.

Уязвимость существует из-за недостаточной обработки входных данных в тегах title и атрибуте thumb alt в модуле Forum, в поле Homepage модуля Guestbook, в полях формы AIM и Yahoo! в сценариях login/profile.php и login/userinfo.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Уязвимость существует при обработке входных данных в параметре site_body в сценарии admin/admin.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Удачная эксплуатация уязвимости требует, чтобы была включена опция register_globals.

Уязвимость обнаружена при обработке входных данных в заголовке HTTP Referer. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

SQL-инъекция возможна из-за недостаточной обработки входных данных в параметрах id и PHPKITSID. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре path в различных сценариях. Удаленный пользователь может подключить и выполнить произвольные PHP-файлы на системе. Злоумышленник может загрузить аватар, содержащий PHP-код, и выполнить его.

Некоторые данные недостаточно проверяются перед вызовом функции eval(). Удаленный пользователь может выполнить произвольный PHP-сценарий на целевой системе. Удачная эксплуатация уязвимости требует, чтобы была включена опция register_globals.

«Дырам» присвоен ретинг опасности «высокая». Уязвим PHPKIT 1.6.1 R2 и более ранние версии. Для использования уязвимостей есть эксплойт. В настоящее время способов устранения уязвимостей не существует, сообщил Securitylab.


Эксперты по информационной безопасности обнаружили множественные уязвимости в программе PHPKIT, которые позволяют удаленному пользователю произвести SQL-инъекцию, XSS-нападение и выполнить произвольный PHP-сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в тегах title и атрибуте thumb alt в модуле Forum, в поле Homepage модуля Guestbook, в полях формы AIM и Yahoo! в сценариях login/profile.php и login/userinfo.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Уязвимость существует при обработке входных данных в параметре site_body в сценарии admin/admin.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Удачная эксплуатация уязвимости требует, чтобы была включена опция register_globals. Уязвимость обнаружена при обработке входных данных в заголовке HTTP Referer. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта. SQL-инъекция возможна из-за недостаточной обработки входных данных в параметрах id и PHPKITSID. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре path в различных сценариях. Удаленный пользователь может подключить и выполнить произвольные PHP-файлы на системе. Злоумышленник может загрузить аватар, содержащий PHP-код, и выполнить его. Некоторые данные недостаточно проверяются перед вызовом функции eval(). Удаленный пользователь может выполнить произвольный PHP-сценарий на целевой системе. Удачная эксплуатация уязвимости требует, чтобы была включена опция register_globals. «Дырам» присвоен ретинг опасности «высокая». Уязвим PHPKIT 1.6.1 R2 и более ранние версии. Для использования уязвимостей есть эксплойт. В настоящее время способов устранения уязвимостей не существует, сообщил Securitylab.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS, выполнить может Удаленный пользователь данных
запостил(а)
Hawkins
Вернуться назад
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация