1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-243 Múltiples vulnerabilidades en Dokeos.

Se reportarón varias vulnerabilidades en Dokeos, que pueden explotarse para realizar ataques de Cross-Site Scripting y SQL injection, manipular y descubrir información sensible y posiblemente comprometer un sistema vulnerable.

  • Fecha de Liberación: 16-Jun-2005
  • Fuente:

    Kevin Fernandez

    Mehdi Oudad

  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

dokeos <= 1.5.5

  1. Descripción

    Se reportarón varias vulnerabilidades en Dokeos, que pueden explotarse por personas maliciosas para realizar ataques de Cross-Site Scripting y SQL injection, manipular y descubrir información sensible y posiblemente comprometer un sistema vulnerable.

    1) Una entrada no es verificada apropiadamente antes de regresarse al usuario. Esto puede explotarse para ejecutar código script y HTML arbitrarios en el navegador de un usuario dentro del contexto de un sitio vulnerable.

    Ejemplos:

    http://[victim]/dokeos/tracking/toolaccess_details.php-tool=[code]
http://[victim]/dokeos/tracking/user_access_details.php-cmd=doc&data=[code]
http://[victim]/dokeos/calendar/myagenda.php-coursePath=[code]

    2) Una entrada no es verificada apropiadamente antes de utilizarse en una query de SQL. Esto puede explotarse para manipular las peticiones SQL inyectando código arbitrario SQL.

    Ejemplos:

    http://[victim]/dokeos/user/userInfo.php-uInfo=[code]
http://[victim]/dokeos/tracking/exercises_details.php-exo_id=[code]

    3) Algunos errores de validación de entrada en los scripta "document.php" y "insertMyDoc.php" pueden axplotarse para cargar, descubrir, copiar, mover o borrar archivos arbitrarios via ataques "directory traversal".

    Una explotación exitosa requiere privilegios de administración.

    4) Cierta entrada no especificada no es verificada apropiadamente antes de utilizarse para incluir archivos. Esto puede explotarse para anexar archivos arbitrarios desde fuentes locales y externas.

    Las vulnerabilidades fueron reportadas en la versión 1.5.5. Versiones anteriores también pueden ser afectadas

  2. Impacto

    Cross-Site Scripting

    Manipulación de datos

    Exposición de información sensible

    Acceso al sistema

  3. Solución

    Las vulnerabilidades fueron resueltas en la versión 1.6 RC2

  4. Apéndices

    Mayor información.

    http://www.dokeos.com/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT