Virüs Güvenlik Haberleri » cms http://www.virusguvenlik.com Virüs Güvenlik Haberleri. Tue, 09 Feb 2010 07:09:56 +0000 http://wordpress.org/?v=2.9 en hourly 1 Clean CMS XSS ve SQL Injection açıkları http://www.virusguvenlik.com/2008/12/09/clean-cms-xss-ve-sql-injection-aciklari/ http://www.virusguvenlik.com/2008/12/09/clean-cms-xss-ve-sql-injection-aciklari/#comments Tue, 09 Dec 2008 13:56:35 +0000 secure http://www.virusguvenlik.com/?p=246 ZoRLu tarafından tespit edilen XSS ve SQL Injectioni açıkları, full_txt.phpi dosyasında id parametresine geçirilen verilerin SQL sorgularında kullanılmadan önce doğru olarak filtrelenmemesinden kaynaklanıyor. Bu açıklardan yararlanarak kullanıcının browser oturumunda istenilen HTML ve script kodu çalıştırmak veya istenilen SQL kodlarını SQL sorgularına eklemek mümkün olabiliyor.

Açığın 1.5 sürümünde olduğu rapor edilmiş. Diğer sürümlerde etkileniyor olabilir.

Çözüm:
Kaynak kodunu düzenleyerek doğru filtreleme yapıldığına emin olun.

]]> http://www.virusguvenlik.com/2008/12/09/clean-cms-xss-ve-sql-injection-aciklari/feed/ 0 MODx CMS uzaktan dosya dahil etme ve XSS açıkları http://www.virusguvenlik.com/2008/12/09/modx-cms-uzaktan-dosya-dahil-etme-ve-xss-aciklari/ http://www.virusguvenlik.com/2008/12/09/modx-cms-uzaktan-dosya-dahil-etme-ve-xss-aciklari/#comments Tue, 09 Dec 2008 13:48:36 +0000 secure http://www.virusguvenlik.com/?p=236 Default olarak /assets/snippets/reflect/snippet.reflect.phpi altında olan Reflect snippet referans kopyası ile, belirli konfigürasyonlardaki siteler, XSS ve uzaktan dosya dahil etme açıklarından etkileniyor.

Kalıcı bir çözüm olarak bu dosyanın uzantısını .txt olarak değiştirebilir veya tamamen silebilirsiniz. Referans olarak dahil edilmişti ve şu an indirilebilen dağıtımda bu dosya kaldırılmış.

Açığın MODx CMS 0.9.6.2 sürümünü etkilediği rapor edildi.

]]> http://www.virusguvenlik.com/2008/12/09/modx-cms-uzaktan-dosya-dahil-etme-ve-xss-aciklari/feed/ 0