Программа: Drupal Project issue tracking Module 4.x

Найденные уязвимости позволяют удаленному злоумышленнику получить доступ к конфиденциальной информации, перезаписать произвольные файлы и выполнить произвольный код на целевой системе.

1) Уязвимость возникает из-за ошибки в установке полномочий. Эксплуатирование уязвимости требует, чтобы атакующий имел полномочия "Access project issues" и приведет к возможности полного доступа ко всем публикациям.

2) Уязвимость возникает из-за ошибки в установке полномочий. Эксплуатирование уязвимости требует, чтобы атакующий имел полномочия "Access project issues" и приведет к возможности выгрузки конфиденциальных и личных файлов.

3) Уязвимость возникает из-за ошибки в проверке расширений загружаемых файлов. Атакующий может загрузить файлы с произвольными расширениями (например, ".php" or ".php.pps") и выполнить произвольный PHP код на сервере. Эксплуатирование уязвимости требует, чтобы атакующий имел полномочия "Access project issues" и Apache сервер был сконфигурирован на запрет перезаписи "FileInfo" в .htaccess файлах.

Оставить мнение