ExtCalendar Module for Mambo/Joomla "mosConfig_absolute_path" File Inclusion Vulnerability
Advisory ID : FrSIRT/ADV-2006-2711
CVE ID : GENERIC-MAP-NOMATCH
Rated as : High Risk
Remotely Exploitable : Yes
Locally Exploitable : Yes
Release Date : 2006-07-09
Descrição Técnica
A vulnerabilidade foi identificada no ExtCalendar (módulo para Joomla/Mambo),
A vulnerability has been identified in ExtCalendar (module for Mambo/Joomla), que pode ser usado por um exploid para executar comandos indesejados.
Esta falha é devido um erro de validação no arquivo extcalendar.php que não valida o parâmetro "mosConfig_absolute_path", que pode ser atacado por pessoas mal-intencionadas para incluir arquivos maliciosos e executar comandos indesejados com privilégios de administrador.
Produtos Afetados:
ExtCalendar versão 0.9.1 e anteriores
Solução:
Desativar ou apagar o módulo
Fonte: Spanish Joomla
Tradução: Eder Samaniego Villalba
ExtCalendar | File Inclusion Vulnerability
-
- Joomleiro
- Mensagens: 436
- Registrado em: 03 Mai 2004, 14:27
- Contato:
ExtCalendar | File Inclusion Vulnerability
Professor Eder Samaniego Villalba
Software Process Improvement Specialist
http://www.webguiabrasil.com.br/
Software Process Improvement Specialist
http://www.webguiabrasil.com.br/
Re: ExtCalendar | File Inclusion Vulnerability
eu usava este calendario, é muito bom, mas o hacker conseguiu danificar o meu site, todos os menus que estam proximos do modulo foram danificados e no lugar estava sendo executado um programa que rodava uma bandeira da Turquia, estou agora procurando uam calendario parecido com o EXT CALENDAR para instala-lo no meu site, se alguem tiver sugestoes de um calendario seguro, por gentileza avise.
Re: ExtCalendar | File Inclusion Vulnerability
??? ???
mais ja tem uma versão com o bug corrigido nao tem o.O ??
mais ja tem uma versão com o bug corrigido nao tem o.O ??