Bei waraxe (http://www.waraxe.us) befinden sich 3, teils nicht mehr ganz neue, Bekanntmachungen zu Sicherheitslöchern in phpNuke.
waraxe-2004-SA#033 - Multiple security holes in PhpNuke - part 1 (http://www.waraxe.us/?modname=sa&id=033)
waraxe-2004-SA#035 - Multiple security holes in PhpNuke - part 2 (http://www.waraxe.us/?modname=sa&id=035%22)
waraxe-2004-SA#036 - Multiple security holes in PhpNuke - part 3 (http://www.waraxe.us/?modname=sa&id=036)
Diese Sicherheitslöcher bestehen allesamt, ausser einem, nicht im vkpMx.
Das Problem, welches auch im vkpMx relevant ist, befindet sich im Modul maaxStat2. Hier wird, wenn man das Modul folgendermassen aufruft:
modules.php?name=maaxStats2&op=convert_month
der volle Serverpfad innerhalb einer Fehlermeldung angezeigt.
Lösung:
In der Datei modules/maaxStat2/index.php, ganz unten, folgende 3 Zeilen löschen.
case "convert_month":
convert_month($month);
break;
O.K.
Ein full path disclosure sollte aber nicht ganz so kritisch sein.
Trotzdem besser fixen !
MfG
jubilee
Thx