Vulnerabilità in Network Query Tool

Impatto medio alto (esecuzione remota del codice)

Network Query Tool 1.0 (compresa la versione per PHPNuke 5.2) è un PHP script che ha il compito di consentire l'effettuazione delle seguenti operazioni:

- Resolve/Reverse Lookup
- ottenere DNS Records
- Whois (Web)
- Whois (proprietario dell'IP)
- Check port
- Ping host
- Traceroute

Recentemente un tecnico francese ha segnalato un problema di sicurezza causato dalla mancanza di controllo, da parte di questo strumento, di alcuni meta-caratteri. Un'immissione, nella riga di comando, di un carattere di questo tipo potrebbe provocare
l'esecuzione arbitraria di comandi sul web server.
L'exploit sarebbe disponibile, ma allo stato attuale gli sviluppatori del codice, opportunamente alletrati, non avrebbero ancora rilasciato una patch.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here