PT-2012-53: Повышение привилегий в DataLife Engine

DataLife Engine
Версия: 9.7 и более ранняя

Ссылка: 
http://dle-news.ru/

Рейтинг опасности

Уровень опасности: Средний 
Воздействие: Повышение привилегий 
Вектор атаки: Удаленный

CVSS v2: 
Base Score: 6.8 
Vector: (AV:N/AC:M/Au:N/C:P/I:P/A:P) 

CVE: отсутствует

Описание программы

DataLife Engine – система управления сайтами.

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимости управлениями сессией, позволяющие провести атаку "Фиксация сессии" в DataLife Engine.

Решение

Установите последнюю версию приложения.

Статус уведомления

30.10.2012 - Производитель уведомлен
30.10.2012 - Производителю отправлены детали уязвимости
19.01.2013 - Производитель выпустил исправление
04.02.2013 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Тимур Юнусов (Исследовательcкий центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2012-53
http://dle-news.ru/bags/v97/1549-patchi-bezopasnosti-dlya-versii-97.html

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/