ExtCalendar | File Inclusion Vulnerability

Publique aqui as últimas notícias do mundo Mambo ou Joomla!
Eder Samaniego Villalba
Joomleiro
Mensagens: 436
Registrado em: 03 Mai 2004, 14:27
Contato:

ExtCalendar | File Inclusion Vulnerability

Mensagem por Eder Samaniego Villalba »

ExtCalendar Module for Mambo/Joomla "mosConfig_absolute_path" File Inclusion Vulnerability
Advisory ID : FrSIRT/ADV-2006-2711
CVE ID : GENERIC-MAP-NOMATCH
Rated as : High Risk
Remotely Exploitable : Yes
Locally Exploitable : Yes
Release Date : 2006-07-09

Descrição Técnica
A vulnerabilidade foi identificada no ExtCalendar (módulo para Joomla/Mambo),
A vulnerability has been identified in ExtCalendar (module for Mambo/Joomla), que pode ser usado por um exploid para executar comandos indesejados.
Esta falha é devido um erro de validação no arquivo extcalendar.php que não valida o parâmetro "mosConfig_absolute_path", que pode ser atacado por pessoas mal-intencionadas para incluir arquivos  maliciosos e executar comandos indesejados com privilégios de administrador.

Produtos Afetados:
ExtCalendar versão 0.9.1 e anteriores

Solução:
Desativar ou apagar o módulo

Fonte: Spanish Joomla
Tradução: Eder Samaniego Villalba
Professor Eder Samaniego Villalba
Software Process Improvement Specialist
http://www.webguiabrasil.com.br/
rafaelcs
Novato
Mensagens: 28
Registrado em: 02 Abr 2010, 10:19

Re: ExtCalendar | File Inclusion Vulnerability

Mensagem por rafaelcs »

eu usava este calendario, é muito bom, mas o hacker conseguiu danificar o meu site, todos os menus que estam proximos do modulo foram danificados e no lugar estava sendo executado um programa que rodava uma bandeira da Turquia, estou agora procurando uam calendario parecido com o EXT CALENDAR para instala-lo no meu site, se alguem tiver sugestoes de um calendario seguro, por gentileza avise.
digo_s13
Usuário
Mensagens: 84
Registrado em: 19 Set 2008, 16:24

Re: ExtCalendar | File Inclusion Vulnerability

Mensagem por digo_s13 »

??? ???

mais ja tem uma versão com o bug corrigido nao tem o.O ??
Responder