Hab das gerade im inet gefunden.
Ist das noch Akut oder schon gelöst?
http://www.net-security.org/vuln.php?id=13405 (http://www.net-security.org/vuln.php?id=13405)
MFG
Andre
Moin :)
sorry, aber dieser angebliche Exploit war uns bisher völlig unbekannt.
Habe jetzt ne gute Stunde damit verbracht, nachzuvollziehen, wie die im Beispiel (http://www.securityfocus.com/bid/41523/exploit) verdrehten Parameter zusammengesetzt werden müssen um zu irgendeinem (negativen) Ergebnis zu gelangen. Es ist mir nicht gelungen, weder in pragmaMx 0.1.11 noch in 1.12 RC.
Die dort aufgeführten Beispiele sind, auch wenn man die Parameter umstellt, d.H. die richtigen Modulnamen den Parametern zuordnet, denn die passen nicht zu den Übergabeparametern, m.E. sinnlos und an den Haaren beigezogen. Für mich ist da keine sql-Injection Sicherheitslücke erkennbar, lasse mich aber gerne etwas besserem belehren.
Okay Danke