1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2006-056 Exposición de credenciales de usuarios de Text Rider.

Se reportó un problema de seguridad en Text Rider, que puede explotarse para descubrir información sensible y posiblemente comprometer un sistema vulnerable.

  • Fecha de Liberación: 25-Ene-2006
  • Ultima Revisión: 26-Ene-2006
  • Fuente: Aliaksandr Hartsuyeu
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Mal diseño.

Sistemas Afectados

Text Rider 2.4
  1. Descripción

    Aliaksandr Hartsuyeu reportó un problema de seguridad en Text Rider, que puede explotarse por personas maliciosas para descubrir información sensible y posiblemente comprometer un sistema vulnerable.

      El problema es que las credenciales de los usuarios son guardadas en el archivo "data/userlist.txt" dentro del directorio raíz de Web. Esto puede explotarse para mostrar nombres de usuario y contraseñas cifradas.

      Además, lo anterior puede explotarse para ingresar a la sección de administración (autenticación basada en cookies utiliza contraseñas cifradas) en donde se pueden cargar archivos arbitrarios a una localidad dentro del directorio raíz de Web. También es posible editar el archivo "config.php" e insertar código PHP arbitrario.

    Se confirmó el problema de seguridad en la versión 2.4. Otras versiones también podrían ser afcetadas.

  2. Impacto

    Acceso al sistema.

  3. Solución

    Restringir el acceso Web al directorio "data" (por ejemplo con el archivo .htaccess).

  4. Apéndices

    http://evuln.com/vulns/46/summary.html

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT