Разделы

Безопасность Цифровизация Бизнес-приложения
|

В популярной FAQ-системе найдены опасные изьяны

Российские эксперты обнаружили множественные уязвимости в программе paFAQ, позволяющей создавать раздел FAQ (часто задаваемых вопросов) на веб-странице.

PaFAQ выполняется с использованием PHP и MySQL. Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS-нападение, выполнить произвольные SQL-команды в базе данных и скачать базу данных. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в сценарии index.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта. SQL-инъекция возможна из-за недостаточной обработки входных данных в переменной username. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных приложения. Для успешной эксплуатации опция magic quotes gpc должна быть выключенной в конфигурационном файле php (значение по умолчанию). Также удаленный пользователь может запросить сценарий admin/backup.php и скачать базу данных приложения.

Уязвима версия paFAQ 1.0 Beta 4. «Дырам» присвоен рейтинг опасности «высокая». Для использования уязвимостей есть эксплойт. В настоящее время способов устранения уязвимости не существует, сообщил Securitylab.

Артем Сычев, «РТ-Информационная безопасность»: Через пару лет стоимость услуг информационной безопасности снизится благодаря автоматизации и широкому внедрению ИИ

Безопасность

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Как убрать «зоопарк» ИИ-решений и создать единый доступ к нейросетям?

Стратегическое микроэлектронное предприятие спасено: суд списал долг в 1 миллиард евро из-за того, что ВЭБ выкупил завод чипов за 1 рубль

Владимир Арлазаров, Smart Engines: Мы создали ИИ, который за 1 минуту помогает оформить 100 новых сотрудников

В России решили проблему пространственной поддержки, чтобы печатать на 3D-принтере крупные и сложные объекты

Как организовать рабочее пространство и повысить продуктивность на 40%

Huawei представила альтернативу западным технологиям на чипах Ascend для ИИ-серверов, ИТ-система похожа на NVLink от Nvidia

Конференции

Orion Digital Day

Роботизация бизнес-процессов 2025

KVM и IP-KVM технологии для организации рабочих мест и мультимедийных пространств
Показать еще

CNewsMarket

RPA

Подобрать платформу роботизации RPA

От 200 000 руб./месяц

DRaaS

Подобрать тариф по аварийному восстановлению ИТ-инфраструктуры

От 1 руб./месяц

BaaS

Выбрать тариф для резервного копирования данных

От 0.03 руб./месяц

ИТ-безопасность

Подобрать решения для повышения ИТ-безопасности компании

От 684 руб./месяц

Техника

Обзор смарт-часов HUAWEI WATCH GT 6 Pro: рекордная автономность и продвинутый велорежим

Что умеют умные холодильники в 2025 году: 5 лучших моделей

Обзор телевизора Starwind 58" SW LED58UG401: доступный мультимедийный центр

Показать еще

Наука

Мы можем жить в гигантской «космической пустоте» — вот почему Вселенная расширяется так быстро

Найден загадочный резервуар пресной воды под дном океана: как он там оказался?

Математика говорит, что жизнь на Земле вообще не должна существовать: новое исследование бросает вызов всем теориям происхождения
Показать еще