aGüvenlik portallarından periyodik olarak aldığımız "Microsoft Resmi Güvenlik Bültenleri" hariç, tüm açık haberleri bundan sonra bu başlık altında yayınlanacaktır.

Böylece açıkları takip eden arkadaşlarımız, tek başlıktan konuyu güncel olarak takip edebilirler.

Hepimize kolay gelsin.

Bu konuda, çalışmalarını hiç aksatmayan ve devamlı yeni açıkları takip edip veren başta DJR arkadaşımız olmak üzere tüm arkadaşlara teşekkür ederim.

ZİXFORUM` un FORUM.ASP SAYFASINDA SQL ENJEKTE ETME AÇIĞI

Tran Viet Phuong tarafından bildirilen açığa göre, sistemin forum.asp sayfasında SQL kodu enjekte etme açığı bulunmuştur.

Açık Zixforum 1.12 versiyonunda geçerlidir. Açığın sebebinin Girdilerin Tam Olarak Kontrol Edilememesi olduğu bildirildi.

Şuan için bir çözüm yoktur.

Örnek Kodlama;

http://www.example.com/forum/forum.asp?pageid=1&H_ID=9 [ SQL INJEC]

Kaynak : http://www.securityfocus.com/bid/16406/

Shareaza P2P dosya paylaşım yazılımının 2.2.1.0 sürümünde bir güvenlik açığı olduğu rapor edildi. Saldırganlar bu açıktan yararlanarak sisteminizde kod çalıştırabilirler.

Çözüm:
Henüz bir yama çıkmadı.

Kaynak: http://seclists.org/lists/bugtraq/2006/Jan/0452.html
http://www.hustlelabs.com/shareaza_advisory.pdf

UBBThreads giriş onaylama açığı

showflat.php dosyasında ’Number’ parametresi için kullanıcı tarafından girilen değerler doğru olarak kontrol edilmiyor. Uzaktaki bir kullanıcı parametreye özel bazı eklemeler yaparak veritabanında SQL komutlarını çalıştırabiliyor.

Örnek:
http://[target]/[forum]/showflat.php?Cat=&Numbe r=19229%20UNION%20SELECT%201,2%20/*&page=0&view=collapsed&sb=5&o=&fpart=1

Çözüm:
Henüz bir yama yada fix çıkmadı.

Kaynak: http://www.securitytracker.com/alert...n/1015549.html

http://www.olympos.org/article/artic...onaylama_acigi

Winamp’da kritik güvenlik açığı için yeni sürüm

Adı mp3 formatı ile adeta özdeşleşmiş popüler media oynatıcı Winamp’ın 5 sürümünü ilgilendiren önemli bir güvenlik açığı saptanmış durumda.

Güvenlik açığı ile ilgili haberler, Winamp’ın bu açığı gideren yeni 5.13 sürümünü duyurması ile aynı gün web sitelerinde yer almaya başladı.

Winamp 5.13 sürümüne ait 875KB büyüklüğündeki Lite versiyonu buradan, 5.27MB büyüklüğündeki Full versiyonu buradan indirebilirsiniz.

http://secunia.com/advisories/18649/

http://www.pclabs.gen.tr/haberler/news.asp?doc=1471

Acigi Gideren Versiyon

Winamp’da kritik güvenlik açığı için yeni sürüm

Adı mp3 formatı ile adeta özdeşleşmiş popüler media oynatıcı Winamp’ın 5 sürümünü ilgilendiren önemli bir güvenlik açığı saptanmış durumda.

Güvenlik açığı ile ilgili haberler, Winamp’ın bu açığı gideren yeni 5.13 sürümünü duyurması ile aynı gün web sitelerinde yer almaya başladı.

Winamp 5.13 sürümüne ait 875KB büyüklüğündeki Lite versiyonu buradan, 5.27MB büyüklüğündeki Full versiyonu buradan indirebilirsiniz.

http://secunia.com/advisories/18649/

http://www.pclabs.gen.tr/haberler/news.asp?doc=1471

Acigi Gideren Versiyon

Cisco VPN cihazları güvenlik açığı

Cisco Systems cuma günü yayınladığı güvenlik duyurusunda VPN 3000 serisi (concentrator) cihazların servis kullanımı engelleme saldırısından (DoS) etkilendiğini duyurdu.

Cihazın HTTP tabanlı web yönetim arabirimine özel hazırlanmış bazı paketler gönderildiğinde cihaz çökebiliyor (reload).
Cisco açık ile ilgili yamaları ve geçici çözümleri de güvenlik bülteninde duyurdu:
http://www.cisco.com/warp/public/707...0126-vpn.shtml

Etkilenen Sistemler

Etkilenenler:
4.7.0’dan 4.7.2’ye kadar olan sürümlerdeki (4.7REL dahil) yazılımları çalıştıran Cisco VPN 3000
Modeller 3005, 3015, 3020, 3030, 3060, ve 3080.

Etkilenmeyenler:
# Cisco VPN 3002 Hardware Client
# Cisco IPSec VPN Services Module (VPNSM)
# Cisco VPN 5000 Concentrators
# Cisco PIX Firewalls
# Cisco Adaptive Security Appliance (ASA)
# Any Cisco device that runs Cisco’s Internetwork Operating System (IOS)
# Any Cisco device that runs Cisco’s Catalyst Operating System (CatOS)

Kaynak:http://www.olympos.org/article/artic...guvenlik_acigi

Daffodil CRM Userlogin.ASP SQL Injection Vulnerability

preben@watchcom.no tarafından bildirilen açığa göre; Daffodil CRM 1.5 versiyonunun UserLogin sayfasında kodlama hatası (Girdilerin Kontrol Edilememesi) bulunmuştur. Bu sayfa üzerinden sisteme SQL kodları enjekte edilerek giriş yapılabilmekte ve sisteme zarar verilebilmektedir.

Şuan için bir yama / çözüm yoktur.

Kaynak:http://www.securityfocus.com/bid/16433
FarsiNews Loginout.PHP Remote File Include Vulnerability

Hamid Ebadi tarafından bildirilen açığa göre; FarsiNews 2.1 Beta2`nin Loginout.PHP sayfasında bulunan kodlama hataları nedeniyle sistemin bu sayfası kullanılarak Uzaktan File Inclusion atak yapılabilmektedir. FarsiNews 2.5 versiyonu bu açıktan etkilenmemektedir.

Örnek Kodlama;

http://www.example.com/loginout.php?.../phpshell.txt?

Çözüm : FarsiNews 2.5`i yükleyiniz.

Kaynak: http://www.securityfocus.com/bid/16440
IPX 2.x.x - Kritik Açık

Bu duyuru, IPB 2.1.4 VE IPB 2.0.4 kurulumunun güvenlik güncelleştirmesi için gerekli adımları içermektedir.
Eğer IPB 2.1.4 VEYA IPB 2.0.4 e upgrade etmediyseniz, bu güvenlik güncelleştirmesini çalıştırmadan bunu yapmanız tavsiye olunur.

Eğer IPB 2.1.4 VEYA IPB 2.0.4’ü, Saat 3’ten sonra indirdiyseniz, bu mesajı gözardı edebilirsiniz. Sözkonusu dosya zaten güncellenmiştir.

IPB 2.x.x in tüm versiyonlarında potansiyel XSS saldırısının mümkün olabileceği tarafımızdan belirlenmiştir. Bu açık, Internet Explorer kullanırken, cookie verilerinin okunmasına meydan vermektedir.

IPB 2.1.4 ( 30 Ocak 2006 ) Yama’yı Yüklemek:

Client Center’a giriş yaptığınızdan emin olun ve Download sayfasını ziyaret edip, yamayı yükleyin. Patch’i harddiskinize yükledikten sonra, zipi açın, ve yama dosyalarını, web serverinizin üstünde bulunan dosyalar için yamayın. Dizin yapısı sizin için bu işlem sırasında korunmaktadır.

IPB Yükseltme Sistemini çalıştırmaya gerek yoktur ve bu güncelleme için, hiçbir dil ve template dosyası değiştirilmemiştir.

Kaynak: http://forums.invisionpower.com/inde...owtopic=204627
PunctWeb MyCO Guestbook 1.0`da HTML kod enjekte etme açığı bulundu...

Revnic Vasile tarafından raporlanan açığa göre; GuestBook`a yeni veri girişi yapıldığı sırada "Name" (İsim) kısmına HTML kodlar yazılarak, sisteme enjekte edilebilmektedir.

Şuan için bir çözüm yoktur.

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=397

SPIP`de Güvenlik Açığı Bulundu !

SPIP`de bulunan bu açık sayesinde Index.PHP3 sayfası üzerinden Cross-Site Kodlamaları ile atak yapılabilmektedir...

SPIP 1.9.Alpha 2 ve SPIP 1.8.2-e sürümleri bu açıktan etkilenmektedir. Index.PHP3 sayfası`nın lang (language) parametresi kullanılarak sisteme XSS atakları ile saldırı yapılabilmekte ve sisteme zarar verdirilmebilmektedir.

Şuan için bir çözüm yoktur.

Kaynak: http://www.Cyber-security.org/DataDe...sp?Data_id=398
Calendarix`de Güvenlik Açığı !

Calendarix 0.6.20050830`da, SQL Kod Enjekte Etme Açığı Bulundu...

Aliaksandr Hartsuyeu tarafından bildirilen açığa göre; calendarix/admin/cal_login.php sayfası, kodlama hataları nedeniyle SQL Enjeksiyona maruz kalmaktadır.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak: http://www.Cyber-security.org/DataDe...sp?Data_id=399
MyBulletinBoard`da Kodlama Açığı

MyBulletinBoard 1.2`da SQL Kod Enjekte Etme Açığı Bulundu...

Devil-00 tarafından bildirilen açığa göre; "index.php?referrer=" üzerinden SQL kodları çalıştırılıp sisteme enjekte edilmekte ve sisteme zarar verilebilmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=400
Ashwebstudio Ashnews`de Açık !

Ashwebstudio Ashnews 0.83`de bulunan kodlama hataları nedeniyle sistem File Inclusion atağa maruz kalmaktadır...

Dan B UK tarafından bildirilen açığa göre; ashnews.php sayfası üzerinden bu atak yapılabilmekte ve sisteme zarar verdirilebilmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak: http://www.Cyber-security.org/DataDe...sp?Data_id=401
BrowserCRM`de Güvenlik Açığı !

BrowserCRM 0`da Cross-Site Scripting Kodlama Açığı Bulundu...

preben@watchcom.no tarafından bildirilen açığa göre; sistemin bu atağa maruz kalmasının sebebinin Search modülünün results.php sayfasındaki kodlama hataları olduğu bildirildi. Saldırgan kullanıcı bu sayfa üzerinden XSS kodları çalıştırarak sisteme zarar verebilmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak: http://www.Cyber-security.org/DataDe...sp?Data_id=402

Symantec Sygate yönetim sunucusu güvenlik açıği

Symantec’in Sygate Management Server (SMS) yazılımında bir güvenlik açığı olduğu rapor edildi. Uzaktaki kullanıcılar SQL sorgulamalarına komutlar ekleyerek yönetici haklarına sahip olabiliyorlar.

Problem yazılımın kullanıcı girişlerini doğru olarak kontrol etmemesinden kaynaklanıyor. Uzaktaki bir kullanıcı özel parametreler ekleyerek veritabanında SQL komutlarının çalıştırılmasını sağlayabiliyor. Bu açıktan yararlanarak tüm SMS kullanıcı hesaplarının (SMS administrator hesabı dahil) şifresi aşılabilir. Saldırganlar bu sayede SMS konsoluna tam yetki ile erişebilir ve yönetilen tüm sistemlerde agent’ları kapatabilir.

Çözüm:
ftp şifreniz yoksa teknik destekle kontak kurmanız gerekiyor.
SMS (İngilizce sürümü) 3.5 MR 3 build 894 veya öncesi:
ftp://SMS35b895@207.33.111.31

SMS (İngilizce sürüm) 4.0 MR 1 build 1104 ve öncesi:
ftp://SMS40B1105@207.33.111.31

SMS (İngilizce sürüm) 4.1 MR 2 build 1417 ve öncesi:
ftp://SSE41MR2@207.33.111.31

S MS 4.1 (Chinese Version) 4.1 MR1 build 1351 ve öncesi:
ftp://SMS1352c@207.33.111.31

Kaynak: http://www.securitytracker.com/alert...b/1015561.html
http://securityresponse.symantec.com...006.02.01.html
SoftMaker Shop`da Güvenlik Açığı

Softmaker Shop 0`da Cross-Site Scripting Kodlama Açığı Bulundu..

color=#0000ffpreben@watchcom.no tarafından bildirilen açığa göre; resultat.asp sayfasındaki girdilerin tam olarak kontrol edilememesinden dolayı sistemde güvenlik açığı meydana gelmektedir. Bu güvenlik açığı nedeniyle sistem XSS ataklarına maruz kalmakta ve zarar görmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=403
CyberShop E-Commerce`de Açık !

CyberShop ASP Ultimate E-commerce Script 0`da Cross-Site Scripting Kodlama Açığı Bulundu..

B3g0k tarafından bildirilen açığa göre; sistemin kodlanmasında yapılan hatalar nedeniyle sistem XSS ataklarına maruz kalmakta ve zarar görmektedir.

Şuan için bir çözüm yoktur..

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=404
Community Server`da Açık !

Community Server 0`da Cross-Site Scripting Kodlama Açığı Bulundu...

behn00d tarafından bildirilen açığa göre; sistemin kodlanmasında yapılan kodlama hataları nedeniyle sistemde bir güvenlik açığı oluşmaktadır. Bu güvenlik açığı nedeniyle sistem XSS ataklarına maruz kalmakta ve zarar görmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=405

cPanel`de Güvenlik Açığı !

cPanel ( Control Panel )`de Cross-Site Scripting Kodlama Açığı Bulundu..

cPanel kodlanırken yapılan hatalar nedeniyle, sistem; editquota.html, dodelpop.html, diskusage.html ve detailbw.html sayfaları üzerinden girilen verileri tam olarak kontrol edememektedir. Bu hatalar nedeniyle sistem XSS ataklarına maruz kalmakta ve zarar görmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=407
Mirc’de /Font Komutu Açığı
Açıklama:
Bu hatayı keşfeden Racy adındaki arkadaş, Hatayı Test ve Debug (Hata ayıklama)’dan sonra sadece hung mirc’de bu komutu çalıştırabildi. Racy’nin Kullandığı Komut :
/font -z $readini(c:\a\a.ini,aaaaaaa ,aaaa)
$readini(c:\a\a.ini,aaaaaaa ,aaaa)

Yukarıdaki her iki komut’da Geçersiz işlem yürütüp hata’ya sebep olup işlemi başa getirecektir.
Eğer ilk verilen komut parametresi hata verirse, EIP’e uzun süreli bir string (dizi) yazabilir. Ve bu kodu uygulamaya izin verecektir. Ayrıca bu açık Buffer Over OverFlow hatasına neden olmaktadır.

Exploit’i Nasıl Kullanabilirim? :

Bu PoC cmd.exe’yi açmanın yanısıra diğer kodları çalıştırmaya da imkan verecektir

PoC’un Exploit’ini indirmek için Tıklayın

Çözüm:

Mirc’in yapımcısı Khaled ile son çıkan hata hakkında tavsiyelerde bulundu.
Khaled ; Bu ne bir açıktır ne de bir ne de bir hatadır. BuTamamiyle mirc’in yerel rapor tanımlama hatasıdır.
Bilgisayarınıza bulaşmış kötü niyetli yazılımlar (virüs, trojan, spy vs..)mirc’in ayarlarını değiştirip hem açığa hemde mirc’in çökmesine neden olacaktır.
Çözüm olarak bu tür kötü niyetli yazılımlardan uzak durmak

Daha fazla bilgi için:
http://trout.snt.utwente.nl/ubbthrea...Number=146129&

Yazı tarafımdan Türkçe’ye çevrilmiştir.

Kaynak : http://www.securityfocus.com/archive.../30/0/threaded
Mozilla Firefox 1.5 de Açık !

Mozilla Firefox 1.5`de uzaktan kod çalıştırma açığı bulundu...

Firefox 1.5 QueryInterface paketindeki sorun nedeniyle uzaktan kod çalıştırılabilmekte ve sisteme zarar verilebilmektedir. Saldırmak için exploit kodlandığından bir an önce güncelleştirmeleri yükleyiniz.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=410
ContentServ`de Güvenlik Açığı !

contentServ 3.1`de meydana gelen güvenlik açığı nedeniyle sisteme SQL Enjeksiyon saldırıları yapılabilmektedir..

Girdilerin tam olarak kontrol edilememesi nedeniyle; index.php sayfasının StoryID fonksiyonu üzerinden sisteme SQL kodları enjekte edilebilmekte ve sistem zarar görmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak: http://www.Cyber-security.org/DataDe...sp?Data_id=411
ContentServ`de Güvenlik Açığı !

contentServ 3.1`de meydana gelen güvenlik açığı nedeniyle sisteme SQL Enjeksiyon saldırıları yapılabilmektedir..

Girdilerin tam olarak kontrol edilememesi nedeniyle; index.php sayfasının StoryID fonksiyonu üzerinden sisteme SQL kodları enjekte edilebilmekte ve sistem zarar görmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak: http://www.Cyber-security.org/DataDe...sp?Data_id=411
Hinton Design Guestbook`da Açık!

Hinton Design phphg Guestbook 1.2`de meydana gelen güvenlik açığı nedeniyle sistem SQL Enjeksiyon saldırılarına maruz kalmaktadır...

Aliaksandr Hartsuyeu tarafından bildirilen açığa göre; sistemin kodlanma süreci çerçevesinde yapılan kodlama hataları nedeniyle sistemde zayıflıklar ortaya çıkmakta ve bu zayıflıklar nedeniyle sistem SQL Enjeksiyon saldırılarına maruz kalmakta ve zarar görmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=412
DotNetNuke`de Güvenlik Açığı !

DotNetNuke`de HTML Kod Enjekte Etme Açığı Bulundu...

Mark Woan tarafından bildirilen açığa göre; DotNetNuke`nin 3.1.0-1.0.6 arası tüm versiyonları bu açıktan etkilenmektedir. Sistemin kodlama sürecinde yapılan kodlama hataları nedeniyle sistemde zayıflıklar oluşmakta ve sistem bu atağa maruz kalmaktadır.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=413
CPG Dragonfly CMS`de Açık !

CPG Dragonfly CMS 9.0.6.1`de meydana gelen bu açık nedeniyle sistem üzerinde uzaktan kod çalıştırılabilmektedir...

rgod tarafından bildirilen açığa göre; kurulumdan sonra install.php sayfasının silinmemesinden kaynaklanan bir zayıflık nedeniyle, sistem uzaktan kod çalıştırılabilecek bir duruma gelmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=414

PHP-Fusion`da Güvenlik Açığı !

PHP-Fusion 6.0.304 versiyonu hariç tüm versiyonların etkilendiği Cross-Site Scripting Kodlama Açığı bulundu...

saxible tarafından bildirilen açığa göre; 6.0.304 öncesi yayınlanan tüm versiyonlarda yapılan kodlama hataları nedeniyle sistem de zayıflıklar oluşmakta ve bu zayıflıklar sebebiyle sistem XSS ataklarına maruz kalmakta ve zarar görmektedir.

Çözüm için 6.0.304 versiyonunu yükleyiniz.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=415
vwdev`de Güvenlik Açığı Bulundu

vwdev 0`de bulunan güvenlik açığı nedeniyle sisteme SQL Enjeksiyon saldırısı yapılabilmektedir...

Omid Aghababaei tarafından bildirilen açığa göre; sistemin kodlanma süreci çerçevesinde index.php sayfasında yapılan kodlama hataları nedeniyle sisteme SQL kodları enjekte edilebilmekte ve sisteme zarar verilebilmektedir.

Eğer hala standart database isimlerini kullanıyorsanız, saldırgan kullanıcı drop komutuyla database`lerinizi silebilir.

Şuan için bir çözüm yoktur, yalnız; geçici çözüm için database isimlerini değiştirebilirsiniz.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=416
MyBB 1.0.3`de Güvenlik Açığı !

MyBB 1.0.3`de bulunan güvenlik açığı nedeniyle sisteme SQL Enjeksiyon saldırıları yapılabilmektedir...

Moderation.php sayfasında yapılan kodlama hatası nedeniyle sisteme bu sayfa üzerinden SQL kodları enjekte edilebilmekte ve sisteme zarar verilebilmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=417
PHP iCalendar`da Güvenlik Açığı!

PHP iCalendar 2.0 / 2.0.1 / 2.1 versiyonlarında meydana gelen güvenlik açığı nedeniyle sistem File Inclusion atağa maruz kalmaktadır...

Aliaksandr Hartsuyeu tarafından bildirilen açığa göre; sistemin kodlanma süreci çervecesinde template.php sayfasında yapılan kodlama hataları nedeniyle saldırganlar bu sayfayı kullanarak uzaktan dosya include edebilmekte yani Remote File Inclusion saldırısı yapabilmektedirler.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=418
CPAINT`de Güvenlik Açığı Bulundu

CPAINT 2.0.3 hariç tüm versiyonlarının etkilendiği bir Cross-Site Scripting Kodlama Açığı Bulundu...

James Bercegay tarafından bildirilen açığa göre; sistemin kodlanma süreci çerçevesinde type.php sayfasında yapılan kodlama hataları nedeniyle sistem XSS ataklarına maruz kalmakta ve zarar görmektedir.

Çözüm için güncelleştirmeleri yükleyiniz;
Güncelleştirmeler: color=#800080http://www.securityfocus.com/bid/16559/solution

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=419
GASoft GAs Forum Light`da Açık!

Dj_Eyes tarafından bildirilen açığa göre; sistemin archive.asp sayfasında bulunan kodlama hataları, sistemin bu sayfa üzerinden SQL Enjeksiyon ataklarına maruz kalmasına sebep olmaktadır.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=420
Indexu`da Güvenlik Açığı Bulundu

Nicecoder indexu 5.0.1 ve Nicecoder indexu 5.0`da bulunan güvenlik açığı nedeniyle sistem uzaktan File Inclusion ataklarına maruz kalmaktadır...

M.Hasran Addahroni tarafından bildirilen açığa göre; sistemin bu ataklara maruz kalmasının sebebi Application.php sayfasında, girdilerin tam olarak kontrol edilememesidir. Saldırgan da bu zayıflıktan yararlanarak sisteme uzaktan inclusion yapabilmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=421

Indexu`da Güvenlik Açığı Bulundu

Nicecoder indexu 5.0.1 ve Nicecoder indexu 5.0`da bulunan güvenlik açığı nedeniyle sistem uzaktan File Inclusion ataklarına maruz kalmaktadır...

M.Hasran Addahroni tarafından bildirilen açığa göre; sistemin bu ataklara maruz kalmasının sebebi Application.php sayfasında, girdilerin tam olarak kontrol edilememesidir. Saldırgan da bu zayıflıktan yararlanarak sisteme uzaktan inclusion yapabilmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=421

PwsPHP`de Güvenlik Açığı Bulundu

PwsPHP 1.2.3`de meydana gelen güvenlik açığı nedeniyle sisteme SQL Enjeksiyon saldırıları yapılabilmektedir...

papipsycho tarafından raporlanan açığa göre; index.php sayfasında bulunan kodlama hataları nedeniyle sisteme bu sayfa üzerinden SQL kodları enjekte edilebilmekte ve sisteme zarar verilebilmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=423

PwsPHP`de Güvenlik Açığı Bulundu

PwsPHP 1.2.3`de meydana gelen güvenlik açığı nedeniyle sisteme SQL Enjeksiyon saldırıları yapılabilmektedir...

papipsycho tarafından raporlanan açığa göre; index.php sayfasında bulunan kodlama hataları nedeniyle sisteme bu sayfa üzerinden SQL kodları enjekte edilebilmekte ve sisteme zarar verilebilmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=423

2200net Calendar`da Açık !

2200net Calendar 1.2`de meydana gelen güvenlik açığı nedeniyle sisteme SQL Enjeksiyon saldırıları yapılabilmektedir...

Aliaksandr Hartsuyeu tarafından raporlanan açığa göre; sistemin kodlanma sürecinde yapılan kodlama hataları nedeniyle sistem SQL Enjeksiyon saldırılarına maruz kalmakta ve zarar görmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=424

Papoo`da Güvenlik Açığı Bulundu!

Papoo 2.1.2`de bulunan güvenlik açığı nedeniyle sistem Cross-Site Scripting ataklarına maruz kalmaktadır...

Dj Eyes tarafından raporlanan açığa göre; sistemin kodlanması sürecinde guestbook.php, index.php, inhalt.php, forum.php, kontakt.php sayfalarında yapılan kodlama hataları nedeniyle sistem`e XSS saldırıları yapılabilmekte ve sistem zarar görmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=425

GuestBookHost`da Güvenlik Açığı!

GuestBookHost 2005.4.25`de meydana gelen güvenlik açığı nedeniyle sisteme SQL Enjeksiyon saldırıları yapılabilmektedir...

Sistemin kodlanmasında yapılan hatalar dolayısıyla sistemde zayıflıklar meydana gelmekte ve bu zayıflıklar kullanılarak sisteme SQL kod enjekte edilebilmektedir.

Şuan için bir çözüm yoktur.

Cyber-Security / DJR

Kaynak : http://www.Cyber-security.org/DataDe...sp?Data_id=426