Разделы

Безопасность Цифровизация Бизнес-приложения
|

В популярной FAQ-системе найдены опасные изьяны

Российские эксперты обнаружили множественные уязвимости в программе paFAQ, позволяющей создавать раздел FAQ (часто задаваемых вопросов) на веб-странице.

PaFAQ выполняется с использованием PHP и MySQL. Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS-нападение, выполнить произвольные SQL-команды в базе данных и скачать базу данных. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в сценарии index.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта. SQL-инъекция возможна из-за недостаточной обработки входных данных в переменной username. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных приложения. Для успешной эксплуатации опция magic quotes gpc должна быть выключенной в конфигурационном файле php (значение по умолчанию). Также удаленный пользователь может запросить сценарий admin/backup.php и скачать базу данных приложения.

Уязвима версия paFAQ 1.0 Beta 4. «Дырам» присвоен рейтинг опасности «высокая». Для использования уязвимостей есть эксплойт. В настоящее время способов устранения уязвимости не существует, сообщил Securitylab.

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Зачем рынку еще один интегратор? Спросили у новой компании

С праздником весны и труда!

Денис Хадасков, HD Tech: В России исторически сложилось, что инновации появляются в финансовых компаниях

«Триколор» выпустит умные дом, кормушку и теплицу, работающие без интернета

Отказоустойчивый кластер Postgres Pro «из коробки»: как работает BiHA

Федеральное казначейство покупает на полмиллиарда СХД, совместимые с Yadro

MARKET.CNEWS

BaaS

Выбрать тариф для резервного копирования данных

От 0.03 руб./месяц

DBaaS

Выбрать тариф на облачную базу данных

От 0.80 руб./месяц

DRaaS

Подобрать тариф по аварийному восстановлению ИТ-инфраструктуры

От 1 руб./месяц

RPA

Подобрать платформу роботизации RPA

От 200 000 руб./месяц

Техника

Роботы-питомцы, которых можно купить в России: выбор ZOOM

На дачу и обратно: лучшие российские алкотестеры

Обзор смартфона HUAWEI nova 12i: внимание на камеру

Показать еще

Наука

Найдена самая тяжелая пара черных дыр во Вселенной — они так велики, что не могут столкнуться и соединиться

Стеклянные сферы, выпавшие в виде осадков в Хиросиме, схожи по составу с ранней Солнечной системой, а не с Землей

Российские ученые открыли удивительные грязевые вулканы на дне Байкала
Показать еще
True Tech Day 2024 True Tech Day 2024