В популярной системе управления контентом веб-сайта PostNuke 0.761 и предыдущих версиях обнаружены серьезные уязвимости. Одна из уязвимостей позволяет злоумышленнику обойти функции "pnVarCleanFromInput()" и "pnAntiCracker()", которые применяются PostNuke для фильтрации HTML тегов. Для обхода фильтрации HTML тегов необходимо использовать специально сформированный тег: "<HTMLTAG? <". Большое количество уязвимостей обнаружено в модулях "NS-Languages" и "Banners", кроме того, что доступ к ним возможен и в обход системы авторизации администратора. Недостаточная проверка параметра "language" в модуле "NS-Languages" позволяет злоумышленнику выполнить SQL запрос или произвольный HTML код и JavaScript в контексте веб-сайта при помощи специально сформированного веб-адреса. Для устранения обнаруженных узвимостей разработчики PostNuke рекомендуют установить новую версию PostNuke 0.762, доступную на официальном веб-сайте.
Подробнее