Archit3ct and IR4DEX GROUP have discovered a vulnerability in SmartSiteCMS, which can be exploited by malicious people to compromise a vulnerable system. Archit3ct GROUPE IR4DEX et ont découvert une vulnérabilité dans SmartSiteCMS, qui peuvent être exploitées par des personnes malveillantes pour compromettre un système vulnérable.

Input passed to the “root” parameter in include/inc_foot.php is not properly verified before being used to include files. Entrée passé à la "racine" paramètre dans include / inc_foot.php n'est pas correctement vérifiée avant d'être utilisées pour inclure des fichiers. This can be exploited to execute arbitrary PHP code by including files from local or external resources. Cela peut être exploité pour exécuter du code PHP arbitraire en incluant des fichiers locaux ou des ressources extérieures.

The vulnerability has been confirmed in version 1.0. La vulnérabilité a été confirmée dans la version 1,0. Other versions may also be affected. Autres versions mai également être touchés.

link lien

Kw3[R]Ln has reported some vulnerabilities in BandSite CMS, which can be exploited by malicious people to compromise a vulnerable system. Kw3 [R] Ln a signalé quelques vulnérabilités dans BandSite CMS, qui peuvent être exploitées par des personnes malveillantes pour compromettre un système vulnérable.

1) Input passed to the “root_path” parameter in includes/content/contact_content.php is not properly verified before being used to include files. 1) Entrée passé à la "root_path" paramètre dans includes / content / contact_content.php n'est pas correctement vérifiée avant d'être utilisées pour inclure des fichiers. This can be exploited to execute arbitrary PHP code by including files from local or external resources. Cela peut être exploité pour exécuter du code PHP arbitraire en incluant des fichiers locaux ou des ressources extérieures.

2) Input passed to the “root_path” parameter in multiple files under the “adminpanel” directory is also not properly verified before being used to include files. 2) d'entrée passent à l' "root_path" paramètre dans plusieurs fichiers dans le cadre du "adminpanel" répertoire n'est pas correctement vérifiée avant d'être utilisées pour inclure des fichiers. This can be exploited to execute arbitrary PHP code by including files from local or external resources. Cela peut être exploité pour exécuter du code PHP arbitraire en incluant des fichiers locaux ou des ressources extérieures.

link lien

Successful exploitation in both requires “register_globals” to be enabled. Le succès de l'exploitation nécessite à la fois "register_globals" soit activé.

The solution is edit the source files to ensure that input is properly verified at all times. La solution est éditer les fichiers sources pour faire en sorte que d'entrée est correctement vérifiée à tous les temps. It would be much simpler to disable “register_globals”. Il serait beaucoup plus simple de désactiver "register_globals".

It is very painful to watch security vulnerabilities being discovered all the time in php based software because the developers simply neglect to sanitize input. Il est très douloureux de voir les failles de sécurité découvertes tout le temps basé sur PHP parce que tout simplement les développeurs de négligence à assainir entrée. WordPress CMS is no exception. WordPress CMS ne fait pas exception.