Se reportó una vulnerabilidad en FUDforum que puede explotarse para comprometer un sistema vulnerable.
FUDforum | < | 2.7.1 |
riklaunim reportó una vulnerabilidad en FUDforum que puede explotarse por personas maliciosas para comprometer un sistema vulnerable.
La vulnerabilidad es ocasionada por la falta de restricciones del tipo de archivos que los usuarios pueden cargar como sus imagenes de avatar. Esto puede expotarse para cargar archivos scripts maliciosos (por ejemplo scripts de PHP) dentro del directorio raíz de web.
Una explotación exitosa requiere que los usuario stengan permitido personalizar sus avatars (En la configuración inicial el administrador debe aprovar si se aplican nuevos avatars).
La vulnerabilidad fue confirmada en la versión 2.6.15. Versiones anteriores también podrián ser afectadas.
Acceso al sistema.
Actualizar a la versión 2.7.1 o mayor.
http://fudforum.org/download.php
No permitir a los usuarios personalizar sus avatars.
Mayor información.
http://fudforum.org/La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT