Back to top

Autore Topic: La vulnerabilità di VM 3....  (Letto 1605 volte)

Offline steganoga

  • Abituale
  • ****
  • Post: 1313
    • Mostra profilo
La vulnerabilità di VM 3....
« il: 25 Gen 2015, 14:52:42 »
----------------------
Anonymous - 21 January 2015 at 04:37
To be clear, you have to know the administrator username and password of the site in order to be able to carry this out. But if you already know these then you can do pretty much anything you want with the site anyway, eg add your own php code to the template to include any file you want, so why do you need to do things this way. It is hard to see why you think this is a real exploit.
-----------------------
--------------------------------------------------------
Haunt IT - 21 January 2015 at 05:46

Hi, first of all: thanks for watching. Ad. your comment: yes, you need admin's credentials to exploit this vulnerability, yes, you can add your own PHP code to templates as well (when you have those credentials). In some CMSs, probably you can even run SQL query directly from the webapp... but :) This post is not about super cool & advanced new hacking extreem technique. This post was published to help guys to learn how to write your own modules for Metasploit
-------------------------------------------------------------

Perchè è stato rimossa l'estensione?
Di chi è la responsabilità di verificare nella JED?
Chi ha la responsabilità di verificare ha i "numeri" per farlo?
« Ultima modifica: 26 Gen 2015, 13:52:51 da steganoga »
...sono dove non ti aspetti di trovarmi, mi alimento della tua supponenza e disseto la mia curiosità nel silenzio.
Non sono un nemico, considerami un ospite.

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:La vulnerabilità di VM 3....
« Risposta #1 il: 26 Gen 2015, 15:50:00 »
ciao    steganoga,
non ho testato la vulnerabilità e non saprei se si tratta di questo caso, ma forse c'è stato un fraintendimento.
In Joomla non è detto che l'accesso al pannello amministratore sia riservato solo agli amministratori. E' possibile dare accessi "limitati" ad autori o collaboratori che possono operare solo in alcune aree del pannello amministratore e non saprei se questa vulnerabilità è riferita a questi accessi "secondari" al pannello amministratore che possono poi sfruttare la vulnerabilità.
Se così fosse allora credo sia corretto definirla una vulnerabilità di basso livello e che sia stato corretto spubblicare la scheda dalla JED in attesa di correzione.

Offline steganoga

  • Abituale
  • ****
  • Post: 1313
    • Mostra profilo
Re:La vulnerabilità di VM 3....
« Risposta #2 il: 26 Gen 2015, 16:41:34 »
quindi è questo quello che succede?

la vulnerabilità sarebbe la possibilità di inserire/leggere codice a chiunque abbia accesso al pannello di amministrazione?
« Ultima modifica: 26 Gen 2015, 19:18:03 da steganoga »
...sono dove non ti aspetti di trovarmi, mi alimento della tua supponenza e disseto la mia curiosità nel silenzio.
Non sono un nemico, considerami un ospite.

 



Web Design Bolzano Kreatif