Очередные уязвимости халявных скриптов на этот раз osCommerce

[confguru]

Очередные уязвимости халявных скриптов на этот раз osCommerce

Прям детский сад какой-то..

http://www.securitylab.ru/45278.html

Удаленный просмотр произвольных файлвов в osCommerce
Программа: osCommerce

Опасность: Низкая

Наличие эксплоита: Да

Описание: Уязвимость обхода каталога обнаружена в osCommerce. Удаленный авторизованный администратор может просматривать файлы на целевой системе.

'admin/file_manager.php' не проверяет данные, представленные пользователем в параметре 'filename'.

Пример/Эксплоит:

file_manager.php?action=download&file name=../../../../../../../../etc/passwd

URL производителя: http://www.oscommerce.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

 

[HEm]

а ведь это система, которую все кому не лень приводят в ответ на вопрос "где мне взять интернет-магазин"

 

[icechel]

Дык с точки зрения админа магазина это не страшно. Страшно с точки зрения хостера.

 

[StUV]

может "производитель" сам это предусмотрел ? =)

 

[svinstvo]

Автор оригинала: HEm
а ведь это система, которую все кому не лень приводят в ответ на вопрос "где мне взять интернет-магазин"

Зря вы так вполне хорошая система. А filemanager действительно вообще попросту удаляется. Кстати не только у меня так.

 

[fixxxer]

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Вот это самое весёлое.

 

[svinstvo]

fixxxer
На русском сайте OsCommerca в разделе фак висит тема: "Что-делать для защиты" вот там как-раз в первых строках пишется "Убить нафиг filemanager" И забить админскую часть куда-нить очень далеко.

 

[HEm]

svinstvo
ты не понял, речь не о том, что есть дыра, которую сложно заделать а о том, что есть дыра, которую может допустить новичок, но никак не авторы системы, которую приводят в качестве примера