SUSKUN
02-02-2006, 06:05 PM
phpBB’nin dosya Upload Script ’i "up.php" Uzak Kullanıcılara İstedikleri Dosyaları Upload Etmeyi sağlıyor
Açık : Uzak bir kullanıcı istediği bir PHP kodunu hedef sisteme yükleyebilir ve hedef sistemin web kullanıcısı yetkileri ile çalıştırabilir.
Versiyon : 1.1
Etkilenen Sistemler: Linux (Tümü), UNIX (Tümü), Windows (Tümü)
Açıklama: phpBB MOD taki Dosya Yükleme Scriptinde bir açık rapor edildi. Uzak bir kullanıcı istediği içerik ve uzantıda dosya yükleyebiliyor.
’up.php’ script ’i dosya uzantılarını veya dosya içeriklerini kısıtlamıyor. Uzak bir kullanıcı istediği bir dosyayı ’.php’ uzantısı ile yükleyebiliyor. Daha sonra uzak kullanıcı yüklenen dosya vasıtası ile hedef sistem üzerinde hedef WEB servisi yetkilerinde PHP kodu ve işletim sistemi komutları çalıştırabiliyor.
Not : Şimdilik bir yama yada çözüm yolu yok.
Açık : Uzak bir kullanıcı istediği bir PHP kodunu hedef sisteme yükleyebilir ve hedef sistemin web kullanıcısı yetkileri ile çalıştırabilir.
Versiyon : 1.1
Etkilenen Sistemler: Linux (Tümü), UNIX (Tümü), Windows (Tümü)
Açıklama: phpBB MOD taki Dosya Yükleme Scriptinde bir açık rapor edildi. Uzak bir kullanıcı istediği içerik ve uzantıda dosya yükleyebiliyor.
’up.php’ script ’i dosya uzantılarını veya dosya içeriklerini kısıtlamıyor. Uzak bir kullanıcı istediği bir dosyayı ’.php’ uzantısı ile yükleyebiliyor. Daha sonra uzak kullanıcı yüklenen dosya vasıtası ile hedef sistem üzerinde hedef WEB servisi yetkilerinde PHP kodu ve işletim sistemi komutları çalıştırabiliyor.
Not : Şimdilik bir yama yada çözüm yolu yok.