vBulletin, uno fra i prodotti più apprezzati da chi realizza community di livello professionale, mostra il fianco ad attacchi di code-injection che potrebbero consentire ad un cracker di inserire codice PHP "on the fly" a propria discrezione in una pagina basata su questa applicazione.
Stando al bollettino distribuito da Secunia, la nota board non validerebbe correttamente il contenuto del parametro template passato al file misc.php: un cracker potrebbe quindi indurre un utente a cliccare su un link del tipo
Http://www.forum.com/misc.php?do=page&template= {$ {[codice PHP]}}
E creare qualche problema.
Sono afflitte dal problema tutte le versioni precedenti alla 3.0.7, rilasciata da alcuni giorni proprio per tappare la falla.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati