Inhalte überspringen »
Security aktuell
Sonntag, 15. November 2009
Umgehen der Authentifizierung für den Administrationsbereich und danach z.B. Heraufladen von PHP-Skripten möglich
Systeme:
PHP
Programm:
osCommerce
Programmversion:
2.2RC2
Programmlink:
Lösung:
Die Schwachstelle wird angeblich bereits aktiv ausgenutzt, evtl. durch einen Bot.
Eine Lösung ist nicht verfügbar, als Workaround kann der Zugriff auf das Verzeichnis /admin über den Webserver auf befugte Benutzer beschränkt werden.
Die Schwachstelle wird angeblich bereits aktiv ausgenutzt, evtl. durch einen Bot.
Eine Lösung ist nicht verfügbar, als Workaround kann der Zugriff auf das Verzeichnis /admin über den Webserver auf befugte Benutzer beschränkt werden.
Quellen:
- [Full-disclosure] OS Commerce authentication bypass
- Re: [Full-disclosure] OS Commerce authentication bypass (ANONYMOUS REMOTE CODE EXECUTION)
- Re: [Full-disclosure] OS Commerce authentication bypass (ANONYMOUS REMOTE CODE EXECUTION)
- Re: [Full-disclosure] OS Commerce authentication bypass (ANONYMOUS REMOTE CODE EXECUTION)
- Serious Hole Found in osCommerce! Admin mailer can be accessed with no login
- eval(base64_decode Hack Some useful help and information
Status:
offen Erklärung
