hoopak dnia 30 maj 2011 16:52 · 5 komentarzy · 6471 czytań ·

Devteam: Ostatnie wydarzenia uświadomiły nam istnienie luki znajdującej się w panelu administracyjnym PHP-Fusion v7.02.xx. W pewnych sytuacjach luka ta może umożliwić hakerowi dostęp do tych kont, które miały odnawiane hasła administratora strony za pomocą panelu administracyjnego.

Dotyczy wersji PHP-Fusion: Wszystkie wersje PHP-Fusion v7.02.xx.

Szczegóły dotyczące luki:
Luka jest spowodowana niewłaściwą implementacją klasy PasswordAuth (/includes/classes/ PasswordAuth.class.php), która obsługuje hasła administratorów oraz hasła wszystkich użytkowników w PHP-Fusion. W wyniku tego błędu 1 na 10 użytkowników z odnowionym hasłem będzie miał zapisane puste hasło logowania, co umożliwi hakerowi dostęp do konta  za pomocą losowego hasła.

Nasze zalecenia:
Do wydania PHP-Fusion v7.02.03 odradzamy korzystania ze strony odnowienia hasła administratora. Luka nie jest możliwa do wykorzystania bez wcześniejszego użycia odnowienia hasła administratora. Jeśli korzystałeś z tej funkcji zalecamy ręczną zmianę hasła.

Więcej informacji dostępnych będzie na stronie DevTeamu. W tym czasie możesz wysyłać pytania bezpośrednio do Hansa Kristiana Flaattena - lidera Development Team’u.