Разделы

Безопасность Цифровизация Бизнес-приложения
|

В PHPKIT найдены опасные уязвимости

Эксперты по информационной безопасности обнаружили множественные уязвимости в программе PHPKIT, которые позволяют удаленному пользователю произвести SQL-инъекцию, XSS-нападение и выполнить произвольный PHP-сценарий на целевой системе.

Уязвимость существует из-за недостаточной обработки входных данных в тегах title и атрибуте img alt в модуле Forum, в поле Homepage модуля Guestbook, в полях формы AIM и Yahoo! в сценариях login/profile.php и login/userinfo.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Уязвимость существует при обработке входных данных в параметре site_body в сценарии admin/admin.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Удачная эксплуатация уязвимости требует, чтобы была включена опция register_globals.

Уязвимость обнаружена при обработке входных данных в заголовке HTTP Referer. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

SQL-инъекция возможна из-за недостаточной обработки входных данных в параметрах id и PHPKITSID. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных приложения.

Как власти потратят 17 млрд руб. на подготовку кадров в сфере БАС
Цифровизация

Уязвимость существует из-за недостаточной обработки входных данных в параметре path в различных сценариях. Удаленный пользователь может подключить и выполнить произвольные PHP-файлы на системе. Злоумышленник может загрузить аватар, содержащий PHP-код, и выполнить его.

Некоторые данные недостаточно проверяются перед вызовом функции eval(). Удаленный пользователь может выполнить произвольный PHP-сценарий на целевой системе. Удачная эксплуатация уязвимости требует, чтобы была включена опция register_globals. «Дырам» присвоен ретинг опасности «высокая». Уязвим PHPKIT 1.6.1 R2 и более ранние версии. Для использования уязвимостей есть эксплойт. В настоящее время способов устранения уязвимостей не существует, сообщил Securitylab.

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Как власти сэкономят 109 млрд руб. на создании инфраструктуры для дронов и обеспечении защиты от них

У россиян отобрали сверхпопулярную бесплатную нейросеть Сбербанка и ввели драконовские условия ее использования. Опрос

Стабильность, безопасность, простота использования: чего бизнес ждет от ВКС-решений

Россия занялась созданием чипов для квантового компьютера

«Диасофт» и «Е-Флопс» подтвердили стабильность работы Digital Q.ERP на серверах ARM64

Таинственный российский Linux Сбербанка научили работать с процессорами архитектуры RISC-V

Конференции

Цифровизация финансового сектора

Оптимизация цифровой инфраструктуры и ПАК 2025

Технологии искусственного интеллекта
Показать еще

CNewsMarket

СЭД

Подобрать систему электронного документооборота СЭД (ECM)

От 1 360 руб./месяц

Email-рассылки

Выбор сервиса для почтовых рассылок

От 0.13 руб./месяц

BPM

Подобрать систему управления бизнес-процессами BPM

От 1 250 руб./месяц

Kubernetes

Рассчитать стоимость кластеров Kubernetes

От 0.52 руб./месяц

Техника

Как перенести общение из WhatsApp и других мессенджеров в Telegram: пошаговая инструкция

Чем отличаются матрицы современных экранов: разбираемся в LED, OLED, QLED, MiniLED и других технологиях

Самые новые технологии в электромобилях в 2025 году: модные опции или необходимость?

Показать еще

Наука

Ученые обнаружили пульс Земли — и он разрывает континент на части

Археологи выяснили, как древние люди использовали огонь удивительным образом миллион лет назад

Трансформация пузырьков воздуха в ледниках — новый способ хранить данные
Показать еще