Security

Joomla Component com_hdvideoshare Sql Injection

Staff — Sun, 19 Feb 2012 07:01:36 +0000

Tipo Exploit: SQL Injection
Livello di criticità:

Tube Ace (Adult PHP Tube Script) SQL Injection

Staff — Wed, 08 Feb 2012 16:38:31 +0000

Tipo Exploit: SQL Injection
Livello di criticità:

OSCommerce v3.0.2 – Cross site scripting persistente

Staff — Wed, 08 Feb 2012 16:20:37 +0000

Tipo Exploit: Cross site scripting persistente.
Livello di criticità:
Versioni affette: 3.0.2.

Mambo CMS 4.6.5 SQL Injection

Staff — Wed, 08 Feb 2012 16:11:13 +0000

Tipo Exploit: SQL Injection
Livello di criticità:
Versioni affette: 4.6.5 e tutte le precedenti versioni.
Soluzione: aggiornare all’ultima versione disponibile.

Joomla Discussions Component (com_discussions) SQL Injection

Staff — Wed, 08 Feb 2012 16:02:55 +0000

Tipo Exploit: SQL Injection
Livello di criticità:

WordPress wp-autoyoutube plugin Blind SQL Injection

Staff — Wed, 08 Feb 2012 15:49:26 +0000

Tipo Exploit: Blind SQL Injection
Livello di criticità:

WordPress Easy Contact Form Lite plugin

Staff — Wed, 08 Feb 2012 15:41:29 +0000

Tipo Exploit: SQL Injection
Livello di criticità:
Versioni affette: 1.0.7 e tutte le precedenti versioni.

WordPress Contact Form plugin

Staff — Wed, 08 Feb 2012 15:35:16 +0000

Tipo Exploit: SQL Injection
Livello di criticità:
Versioni affette: 2.7.5 e tutte le precedenti versioni.

WordPress Kish Guest Posting Plugin 1.0 – Upload di files arbitrari

Staff — Wed, 08 Feb 2012 14:21:21 +0000

Tipo Exploit: Arbitrary File Upload
Livello di criticità:
Versioni affette: 1.
Descrizione: uploadify.php permette l’upload di file senza limiti (restrizioni).
Un aggressore potrebbe essere in grado di caricare file arbitrari contenenti codice PHP dannoso perchè il tipo di estensione del file caricato non è adeguatamente controllato.

WordPress

Staff — Wed, 08 Feb 2012 13:20:42 +0000

Tipo Exploit: Esecuzione di codice PHP e persistente Cross Site Scripting
Vulnerabilità tramite la pagina di ‘setup-config.php’
Livello di criticità:
Versioni affette: 3.3.1 e tutte le precedenti versioni di WordPress.
Descrizione: La pagina di installazione WordPress ‘setup-config.php’ permette agli utenti di installare WordPress in un locale o remote database MySQL. Ciò richiede che un utente abbia valide credenziali per completare l’operazione. Tuttavia, un utente malintenzionato, può ospitare il proprio database MySQL e può completare con successo l’installazione di WordPress senza credenziali valide sul sistema di destinazione.
Dopo la corretta installazione di WordPress, un utente malintenzionato può iniettare codice PHP maligno tramite l’editor di WordPress Themes. Inoltre, con il controllo del database, può essere iniettare Javascript dannoso nel contenuto di WordPress (persistente Cross Site Scripting).