Xomol CMS - включение локальных файлов и НСД
Сектор:
Корпоративное ПО
Производитель:
Xomol
Продукт:
Xomol CMS
Операционная система:
-
Версии:
1 r20071213
Тип:
Раскрытие/утечка информации 
Раскрытие/утечка информации – Общее определение: уязвимости, относящиеся к этой категории, позволяют злоумышленнику получить несанкционированный доступ к различной информации.
Наличие эксплойта:
эксплойт
Наличие патча:
нет
Локальная/удаленная:
удаленная
Уровень:
высокий
ОПИСАНИЕ
В Xomol CMS обнаружены уязвимости к включению локальных файлов и обходу аутентификации посредством SQL-инъекции.
1. Включение локальных файлов (с указанием относительного пути) возможно через параметр “op” сценария “index.php”. Параметр передается для включения без предварительной проверки допустимых путей.
2. Несанкционированный доступ возможен посредством ввода в поле “email” дополнения к SQL-запросу, заставляющему БД возвращать всегда положительный результат авторизации.
ЗАЩИТА
По данным на 27 мая 2008 г., уязвимости не устранены. Сайт продукта, Xomol.net, в настоящее время находится в состоянии дефейса.