Russian

Техническая поддержка

Личный кабинет партнера

MaxPatrol 8

Контроль защищенности и соответствия стандартам

MaxPatrol SIEM

Выявление инцидентов ИБ в реальном времени

PT ISIM

Управление инцидентами кибербезопасности АСУ ТП

PT ISIM freeView Sensor

Бесплатная система мониторинга ИБ АСУ ТП

PT MultiScanner

Многоуровневая защита от вредоносного ПО

XSpider

Сканер уязвимостей

PT Application Firewall

Защита приложений от веб-атак

PT Application Inspector

Анализатор защищенности приложений

PT Platform 187

Реализация основных требований 187-ФЗ для небольших инфраструктур

ПТ Ведомственный центр

Управление инцидентами и взаимодействие с ГосСОПКА

PT Network Attack Discovery

Поиск следов компрометации в сетевом трафике

Тесты на проникновение

Выполняя тестирование на проникновение (penetration testing, «пентест») эксперты Positive Technologies выявят недостатки защиты и оценят возможные последствия их эксплуатации.

Управление уровнем защищенности

Появление новых уязвимостей, изменение структуры сетевого периметра, модификация настроек серверов и сетевого оборудования, — все это требует глубокого анализа на стойкость к внешним воздействиям.

Оценка уровня защищенности

Работы по оценке уровня защищенности направлены на глубокую оценку того или иного аспекта информационной безопасности, либо на комплексный анализ всей СУИБ в целом. Компания Positive Technologies предлагает набор услуг, позволяющих оценить уровень защищенности различных аспектов ИБ.

Консультации экспертов

Если Вы не нашли то, что поможет решить вашу задачу, можно обратиться к экспертам Positive Technologies.

Реагирование и расследование инцидентов информационной безопасности

Positive Technologies Expert Security Center (PT ESC) оказывает клиентам оперативную и всестороннюю помощь в обнаружении, реагировании и расследовании инцидентов информационной безопасности.

Главная
Исследования
Уязвимости и угрозы
PT-2014-77: Внедрение локального файла в Kasseler CMS

PT-2014-77: Внедрение локального файла в Kasseler CMS

Уязвимое ПО

Kasseler CMS

Версия: r1190 и более ранняя

Ссылка:
http://www.kasseler-cms.net/

Рейтинг опасности

Уровень опасности: Высокий
Воздействие: Внедрение локального файла
Вектор атаки: Удаленный

CVSS v2:
Base Score: 7.5
Vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P)

CVE: отсутствует

Описание программы

Kasseler CMS – система управления веб-проектами

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Внедрение локального файла" в Kasseler CMS.

Недостаточная проверка вводимых данных в сценарии \search\index.php позволяет злоумышленникам, действующим удаленно, подключать файлы, расположенные на атакуемом сервере, и выполнять, таким образом, PHP-код. Данные действия могут привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации, компрометации сервера и т.д.

Решение

Установите последнюю версию приложения

Статус уведомления

11.12.2013 - Производителю отправлены детали уязвимостей
25.12.2013 - Производитель выпустил исправление
29.12.2014 - Публикация уязвимости

Благодарности

Уязвимость была обнаружена с помощью системы анализа исходных кодов Positive Technologies Application Inspector

Ссылки

http://www.securitylab.ru/lab/PT-2014-77

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

Уязвимости

3 сентября 2018 PT-2018-21: Переполнение буфера в Schneider Electric Modicon Premium, Modicon Quantum и Modicon M340 Высокий – (7.5)
(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
3 сентября 2018 PT-2018-20: Выполнение произвольного кода в Schneider Electric BMXNOR0200 Высокий – (9.8)
(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
3 сентября 2018 PT-2018-19: Обход авторизации в Schneider Electric Modicon Premium, Modicon Quantum, Modicon M340 и BMXNOR0200 Высокий – (9.8)
(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)