S-a anuntat o vulnerabilitate in PHP-Nuke

A fost raportata o vulnerabilitate in PHP-Nuke.

Datele de intrare controlate de un posibil atacator pentru parametrul phpbb_root_path utilizat in cadrul fisierului script admin_styles.php nu sunt verificate corect inainte de a fi folosite pentru a include fisiere. Aceasta vulnerabilitate poate fi exploatata pentru a include fisiere arbitrare din resurse locale sau externe, posibil controlate de atacator.

Este posibil de asemenea ca un atacator sa afle calea completa a instalarii prin introducerea de date invalide prin parametrul phpEx din cadrul anumitor fisiere script.

Vulnerabilitatea a fost confirmata in cadrul versiunii 7.5. Este posibil ca si alte versiuni sa fie afectate.

Datorita lipsei momentane a unui patch, sau a unei versiuni mai noi care sa rezolve aceste probleme este recomandata restrictionarea accesului la fisierele script pentru operatii administrative prin intermediul metodei htaccess din serverul web Apache sau echivalentele din serverele web utilizate.

De asemenea, se recomanda modificarea manuala a codului din fisierele script afectate pentru verificarea corecta a valorilor de intrare.