CERT-FI haavoittuvuustiedote 143/2007

Pindorama-sisällönhallintajärjestelmän client.php-komponentti sisältää haavoittuvuuden

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- ei päivitystä tai rajoitusmenetelmää	Lisätietoja

Pindorama on PHP-pohjainen avoimeen lähdekoodiin perustuva selainkäyttöinen sisällönhallintajärjestelmä.

Pindoraman client.php-komponentista on löytynyt haavoittuvuus, jota hyväksikäyttämällä hyökkääjä voi suorittaa PHP-komentoja. Hyökkääjän komennot syötetään osana www-palvelimelle syötettävää URL:ia.

HAAVOITTUVAT OHJELMISTOT:

• Pindorama-ohjelmiston v0.1

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuuteen ei ole saatavilla valmistajan toimittamaa korjausta.

Haavoittuva komponentti on suositeltavinta poistaa järjestelmästä.

LISÄTIETOA:

• http://www.securityfocus.com/bid/26026
• http://www.milw0rm.com/exploits/4519
• CVE-2007-5387

On syytä huomioida, että Pindoraman versio 0.1 on julkaistu jo 2.3.2005, eikä projektissa ole SourceForge.net-sivuston mukaan tapahtunut sen jälkeen mitään.

PÄIVITYSHISTORIA:

22.10.2007, kello 09.10: Julkaistu
22.10.2007, kello 09.38: Korjattu haavoittuvuustiedotteen numero

Sivua päivitetty 22.10.2007

Tulostusversio