Ti invio un articolo importantissimo tratto da
www.risorse.net.
Riguarda il modulo INDYNEWS.
--------------------------------------------------------------------
IndyNews - modulo PhpNuke: vari problemi ...
Notizie per webmaster
Risorse.net
IndyNews - modulo PhpNuke: vari problemi di sicurezza
Notizia del 2003/02/17 9.12.43, categoria: PhpNuke.
Sono state scoperte diverse vulnerabilit? su IndyNews, modulo di PhpNuke che permette l'invio di documenti multimediali
Indynews ? un add-on di PhoNuke che permette agli utenti di allegare files multimediali (immagini, documenti ed altro) agli articoli. Mentre testava il modulo, Elisa Manara ha scoperto diversi problemi
1. function delMediaFile()
Qualunque persona potrebbe cancellare i files allegati negli articoli gi? approvati
2. function manageMedia()
2.1. Qualunque persona pu? cancellare files propri dell'utente che esegue gli scripts Php
2.2. Manipolando i cookie, tu puoi modificare la path dei files uplodati, in modo che possano essere salvati dovunque desideriate
3. function editMediaDescr() and editMediaTempDescr()
Tutti possono modificare la descrizione dei files allegati in un articolo approvato o ancora in attesa dell'approvazione.
Poich? la descrizione del file ? mostrata tramite l'attributo Html alt="" e non c'? nessun controllo sul contenuto, ? possibile alterare totalmente il layout dell'articolo inserendo qualunque link, immagine, codice
JavaScript ecc.
-------------------------------------------------------------------
Ho scaricato la patch di sicurezza, ma non risolve nulla.
Provvedo a disattivare dai miei domini l'inserimento dei media neglki articoli.
Ciao!