Joomla.it Forum

Non solo Joomla... => Sicurezza => : vamba 25 Jul 2010, 17:55:29

: Joomla Ozio Gallery Component (com_oziogallery) SQL Injection Vulnerability
: vamba 25 Jul 2010, 17:55:29: Dalle informazioni in nostro possesso al momento pare che il problema riguardi la prima release di oziogallery, quindi un motivo in più per aggiornarla se ancora state utilizzando la vecchia.

:
=================Exploit================= ----exploit---- Dork: inurl:"index.php?option=com_oziogallery" http://{localhost}/{path}/index.php?option=com_oziogallery&Itemid=[SQL] ---------greatz----------
: Re:Joomla Ozio Gallery Component (com_oziogallery) SQL Injection Vulnerability
: mau_develop 25 Jul 2010, 18:48:00: sti 12 enni hanno una fortuna sfacciata... peccato che a me ne con le vecchie ne con le nuove versioni esploita... darò un'occhiata al codice quando ho tempo.

Cmq sono bimbi arabi,.. ho scritto anche a security reason per chiedergli se posso postarne qualcuna anch'io... tanto se nessuno controlla sono sempre visite al sito che ottengo

...alex? .. che dici?

M.
: Re:Joomla Ozio Gallery Component (com_oziogallery) SQL Injection Vulnerability
: mmleoni 25 Jul 2010, 22:38:49: nella v2 non ho visto niente di attaccabile...

ciao,
marco
: Re:Joomla Ozio Gallery Component (com_oziogallery) SQL Injection Vulnerability
: mau_develop 25 Jul 2010, 23:06:46: :) ... nn avevo dubbi, ho visitato il loro blog e anche se in arabo dai post si capisce il livello... molto basso, come quelli delle precedenti vuln sull'itemid.

poi:
My Sites : xxx.pal-mafia.com & xxx.vbspiders.com
# Tested on: Windows

... mamma mia, quel tested on windows, 99,9 su 100 vuol dire "pushed start on Acuxxxx" ...

ma quel che mi fa arrabbiare non è che loro dicano di trovarle è che ci siano autorevoli siti riferimento per le vuln che le pubblicano.
Se lo facessero con una mia appz mi arrabbierei non poco

M.
: Re:Joomla Ozio Gallery Component (com_oziogallery) SQL Injection Vulnerability
: vamba 26 Jul 2010, 00:10:40: nella v2 non ho visto niente di attaccabile...
Non si tratta della versione 2 (oltretutto com_oziogallery2 e non com_oziogallery) ma della v1 (della quale circolano addirittura delle versioni craccate ... !!!!!!????? )
e avrei qualche riserva più sul modulo che sulla componente ... (modulo che non riesco però a recuperare per verificare)
: Re:Joomla Ozio Gallery Component (com_oziogallery) SQL Injection Vulnerability
: mmleoni 26 Jul 2010, 07:12:10: : Vamba 26 Jul 2010, 00:10:40
Non si tratta della versione 2 (oltretutto com_oziogallery2 e non com_oziogallery)

sì, avevo visto, ma, dato che non ho trovato la v1, ho preferito controllare la v2 per anticipare i nostri "esperti di sicurezza" che nel prossimo bollettino ci troveranno un bug quando gira su win 95 ;D ;D ;D

ciao,
marco