Множественные уязвимости в Invision Power Board

Программа: Invision Power Board 2.1 – 2.1.5
Опасность: Высокая
Наличие эксплоита: Да .
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения и скомпрометировать уязвимую систему.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре «lastdate» в сценарии «search.php» перед вызовом функции «preg_replace()». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP код на целевой системе.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре «ck» в сценарии «index.php». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Максимальная длина запроса ограничена 32 символами.
Административный пользователь может с помощью параметра «name» в сценарии «admin.php» выполнить произвольный PHP сценарий на системе.

3. Уязвимость существует из-за того, что злоумышленник может загрузить злонамеренный JPEG файл с GIF заголовком, содержащим HTML сценарий. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.invisionboard.com

Решение: Установите исправление с сайта производителя.

Поделиться в соц. сетях

mailru Множественные уязвимости в Invision Power Board
facebook Множественные уязвимости в Invision Power Board
odnoklassniki Множественные уязвимости в Invision Power Board
livejournal Множественные уязвимости в Invision Power Board
googlebuzz Множественные уязвимости в Invision Power Board

Также рекомендуем:

  1. Обход ограничений безопасности в Invision Power Board Программа: Invision Power Board 2.1.7 и более ранние версии.. Опасность: Средняя Наличие эксплоита: Нет Описание:Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности. Уязвимость существует из-за неизвестной ошибки в режиме «threaded view». Удаленный пользователь может получить доступ к сообщениям пользователей за пределами темы. URL производителя: http://www.invisionboard.com Решение: Установите исправление с сайта производителя....
  2. Под угрозой блокирования все домены RU-CENTER в зоне .рф «Ведомости» на своих страницах сообщает о решении Главы Координационного центра национального домена сети интернет Андрея Колесникова заблокировать зарегистрированные на компанию RU-CENTER все домены зоны .рф. В ответ на такое решение директор департамента по связям с общественностью крупнейшего из российский регистраторов RU-CENTER Андрей Воробьев рассказал, что компания пока не располагает никакими официальными предписаниями или уведомлениями о [...]...
  3. В Twitter появилась реклама Стартовала рекламная платформа в Twitter. Сообщение об этом появилось в блоге компании.. Основу платформы составляет механизм Promoted Tweets, выдающий в результатах поиска сообщения рекламодателей. Как сообщают специалисты Twitter, эти объявления представляют собой обычные твиты, которые должны быть представлены широкому кругу пользователей. Партнерами компании в настоящее время являются Best Buy, Red Bull, Sony Pictures, Starbucks, Virgin [...]...
  4. Множественные уязвимости в Mozilla Firefox Программа: Mozilla Firefox до версии 1.5.0.7. Опасность: Критическая Наличие эксплоита: нет Описание: Обнаруженные уязвимости позволяют злоумышленнику выполнить нападение “человек по середине”, межсайтовый скриптинг, спуфинг и потенциально скомпрометировать систему пользователя. 1. Переполнение буфера в обработке JavaScript регулярных выражений позволяет злоумышленнику выполнить произвольный код на целевой системе. 2. Механизм автообновления использует SSL для безопасного общения. Если пользователь [...]...
  5. Иранская кибер-армия осуществила взлом Twitter Несколько дней назад преступниками была похищена важная техническая документация, которая хранилась в памяти одного из компьютеров принадлежащих администрации Twitter. После случившегося руководством сервиса было заявлено о закрытии любой возможности для проникновения хакеров и невозможности повторения случившегося. Но это заявление оказалось преждевременным, Иранской кибер-армией оказался взломан сервис Twitter.. Утром 18 декабря практически на протяжении часа сайт [...]...
  6. Церемония вручения "Russian Flash Awards 2008" состоится 10 июня 10 июня в московском клубе «Меццо Форте» состоится третья Церемония вручения Премии в области flash-разработок «Russian Flash Awards 2008″. Организаторами Премии выступают корпорация Adobe Systems и российская IT-компания «Флексис». Организационную и PR-поддержку мероприятия осуществляет агентство «Гуров и партнеры». . Среди работ будут представлены лучшие российские и зарубежные flash-проекты в девяти номинациях: Art, Коммерция, AIR/Flex, Игра, [...]...
  7. Бегун улучшил Гиперконтекст Бегун представил обновленную версию своей программы Гиперконтекст. . В ней были внесены следующие изменения: Сменилась платформа показа объявлений, которая проходила в пределах процедуры обновлений всего Автоконтекста. Как отмечает Денис Кучумов, который является экспертом по контекстной рекламе, смена платформы приведет к более ускоренной индексации документов и оперативному выводу «горячих объявлений». Правда пока еще неизвестно, как это [...]...
  8. Twitter будет использовать потовые технологии Для разработчиков программ-клиентов микроблогового сервиса, администрация Twitter планирует предоставить набор инструментов User Streams API, содержащий набор функций для отслеживания изменений на страницах сервиса в реальном времени.. По сообщению Mashable открытое бета-тестирование набора функций будет начато уже в ближайшее время. Применение пользователями программ-клиентов, созданных с использованием User Streams API, предоставит им возможность в режиме реального времени [...]...
  9. Facebook обзаведется собственным файлообменником Расширяя свои возможности, Facebook планирует в ближайшем будущем приобрести собственную файлообменную систему. Первый шаг на пути к получению файлообменника уже сделан: компанией приобретен соответствующий сервис Drop.io. Как следует из сообщений западных источников, потребности социальной сети будут удовлетворяться функциональными возможностями сервиса.. Стоимость приобретения скрыта под грифом «Секретно», но известно, что большая часть сервиса отошла в собственность [...]...
  10. Яндекс и доп. ссылки для мультиязычных сайтов Яндекс обзавелся механизмом вывода сайтов, имеющих несколько версий на различных языках, в SERP. Если Яндекс «понимает», что найденный текст – перевод исходного с другого языка, то результат поиска выдает под заголовком найденной ссылку на страницу с переведенным документом.. Бывает и так, что сайт имеет два идентичных текста на разных языках. В этом случае адрес страницы [...]...
  11. Яндекс оценили около 9 миллиардов долларов Компания «Яндекс» получила предварительную финансовую оценку, перед предстоящим IPO. Об этом сообщил изданию Wall Street Journal анонимный источник знакомый с делами компании. Напомним, что «Яндекс» планирует выйти на биржу Nasdaq уже в этом году.. Если все пойдет по плану, то 10-20% акций Яндекса будут размещены на бирже уже в конце мая – начале июня текущего [...]...
  12. Человеком года по версии Time стал основатель Facebook В официальном микроблоге Time на Twitter появились статьи об окончании конкурсного отбора для присвоения почетного звания «Человек года-2010″. Им стал основатель самой крупной в мире социальной сети Facebook Марк Цукерберг.. Обоснование выбора Цукерберга звучит так: «За объединение между собой более полумиллиарда человек, создание новой системы обмена информацией и просто за то, что он изменил нашу [...]...
  13. Бегун ужесточил правила приема сайтов Система контекстной рекламы «Бегун» резко ужесточила правила приема сайтов для участия в своих партнерских программах. В частности, значительно возросли требования к посещаемости сайтов.. Отныне в партнерскую программу Бегун.Автоконтекст будут приниматься только сайты с посещаемостью не менее 100 уникальных посетителей в сутки для коммерческих хостингов и от 300 – для бесплатных. Для приема в программу данный [...]...
  14. Twitter стал еще быстрее Социальный сервис Twitter 6 апреля запустил новый сервер Blender. Сообщение об этом содержится в официальном блоге Twitter. Как ожидается, это технологическое решение позволит значительно повысить скорость и качество поиска.. Технологические перемены начались после того как в начале марта Twitter испытал серьезные проблемы. Дело в том, что трагических событий в Японии резко увеличилось количество запросов и [...]...
  15. На Daripodarki.ru появилась специализированная страничка ко Дню Святого Валентина Интернет-магазин Daripodarki.ru (http://www.daripodarki.ru) анонсировал на своем сайте специальную страничку, созданную для удобного и быстрого поиска подарков ко Дню Святого Валентина (http://14.daripodarki.ru/). . По словам сотрудников интернет-магазина, на сегодняшний день в России у большинства молодых людей (и не только) уже сложилась традиция делать друг другу подарки на День Святого Валентина. Поэтому коллектив Daripodarki.ru решил как следует [...]...

Комментарии запрещены.