АБРАКАДАБРА (Тоже самое но в читаемом виде)
SecurityFocus soob6ila ob uazvimostax v open source-sisteme upravlenia kontentom Mambo, kotorie mogut bit' ispol'zovani dla prosmotra konfidencial'noy informacii ili komprometacii sistemi. Obnarujeno 4etire nedostatka. Pat4a poka net. V odnom iz scenariev naru6ena fil'tracia soderjimogo parametra «file[NewFile][tmp_name]», tak 4to special'no podgotovlennie argumenti mogut bit' ispol'zovani dla udalenia s servera faylov, takix, kak configuration.php. Esli administrator ne udalil ili pereimenoval v Mambo direktoriu installacii, mojno daje polu4it' dostup k baze dannix, zagruziv dla manipulacii special'niy fayl konfiguracii. Zloumi6lenniki mogut zatem zagruzit' proizvol'niy kontent pri pomo6i CMS (sistema upravlenia saytom).
Krome togo, mojno osu6estvit' mejsaytoviy skripting (XSS) i mejsaytovuu poddelku zaprosov (CSRF) v skripte connector.php, kotoriy mojet bit' ispol'zovan zloumi6lennikom dla vipolnenia scenaria v brauzere pol'zovatela s privilegiami servera Mambo, pi6etsa na heise-security.co.uk.
O6ibki bili naydeni v versii 4.6.3 - predidu6ie versii, veroatno, takje uazvimi. Oficial'noe obnovlenie e6e ne vi6lo.
cmsworld.ru/cms-blog/3083/ |