Sicurezza

[EXPLOIT/FIX] Php-Stats 0.1.9.2 Multiple Vulnerabilities Exploit

Condividi!

In questi giorni sto lavorando ad un “caso” di hacking che sta infettando un discreto numero di persone e facendo i soliti controlli mi sono imbattuto in una serie di vulnerabilità che affliggono il famoso script di statistiche Php-Stats 0.1.9.2 (utilizzato anche in questo Blog).

Le vulnerabilità sono di due tipi: Blind SQL Injection e Remote Code Execution.

Tale vulnerabilità è stata riportata da Milworm e questo è l’indirizzo dell’Exploit.

Egix, lo scopritore di tale vulnerabilità riporta anche un fix da applicare al file “php-stats.recjs.php” al fine di correggere tale falla di sicurezza.

Per fixare il vostro Php-Stats aprite il file “php-stats.recjs.php” e posizionatevi alla Riga 94. Troverete il seguente codice:

if(isset($_GET[‘ip’])) $ip=urldecode($_GET[‘ip’]); else break;

che andrà sostituito con questo:

if(isset($_GET[‘ip’])) $ip=intval(urldecode($_GET[‘ip’])); else break;

Come sempre eccovi il file già fixato:

Fix Php-Stats 0.1.9.2

2 Comments
To Top