PT-2009-41: Множественные уязвимости в Kayako Support Suite Уязвимое ПОKayako Support Suite Версия 3.60.04 stable и, возможно, более ранние Ссылка на приложение: http://www.kayako.com/Рейтинг опасностиУровень опасности: Низкий Воздействие: Раскрытие установочного пути Вектор атаки: УдаленныйCVSS v2: Base Score: 6.4 Temporal Score: 5 Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:P/E:P/RL:O/RC:C)CVE: отсутствуетОписание программного обеспечения Kayako Support Suite – система технической поддержки HelpDesk.Vulnerability DescriptionPositive Technologies Research Team обнаружили уязвимости «раскрытие установочного пути» в приложении Kayako Support Suite.Приложение использует уязвимую функцию PHP unserialize(), позволяющую раскрыть установочный путь продукта. Кроме того, не осуществляется проверка типов переменных, что также позволяет раскрыть установочный путь. Далее, используется вызов функции trigger_error(), также позволяющий раскрыть установочный путь.Примеры использования:COOKIE: a%3A1073741823%3A%7Bi%3A0%3Bs%3A30%3A%22aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%22%7D http://site/support/index.php?_m[]=news&_a=view http://site/support/includes/functions_captcha.phpРешение Установите последнюю версию - 3.70.01Статус уведомления12.10.2009 - Производитель уведомлен 13.10.2009 - Получен ответ от производителя 26.01.2010 - Производитель подтвердил уязвимость и предоставил временное решение 12.03.2010 - Производитель выпустил исправление 08.04.2010 - Разглашение уязвимостиБлагодарностиЭту уязвимость обнаружил Тимур Юнусов (Positive Technologies Research Team) Ссылкиhttp://www.securitylab.ru/lab/PT-2009-41 http://www.ptsecurity.ru/advisory.aspСписок отчетов об уязвимостях, ранее обнаруженных Positive Technologies Research Team:http://www.securitylab.ru/lab/ http://www.ptsecurity.ru/advisory.asp
