Kw3 [R] Ln ha scoperto una vulnerabilità nel modulo di MOD_CBSMS per Mambo, che può essere sfruttato per compromettere un CMS di Mambo del servizio della macchina.

L'input è passato al parametro “del mosConfig_absolute_path„ in mod_cbsms_messages.php correttamente non è verificato, prima che fosse usato a includesse le lime. Ciò può essere sfruttata per includere le lime arbitrarie dalle risorse esterne e locali.

Il riuscito sfruttamento richiede che “i register_globals„ sia permesso a.

La vulnerabilità è stata confermata nella versione 1.0. Altre versioni possono anche essere commoventi.

Soluzione:
Pubblichi il codice sorgente per accertarsi che l'input passato “a mosConfig_absolute_path„ sia sterilizzato correttamente o “register_globals„ semplicemente regolati a "OFF". via Secunia