Vulnerabilità: CVE-2005-4852

L’implementazione siteaccess URIMatching in eZ publish 3.5 fino a 3.8 prima 20.050.812 convertire tutti i caratteri non alfanumerici in un URI ‘_’ (sottolineatura), che consente attaccanti remoti a limitazioni di accesso bypass inserendo alcuni caratteri in un URI, come dimostrato da una richiesta per / admin: de, che corrisponde a una regola consentendo solo / admin_de di accesso / admin.


http://ez.no/download/ez_publish/changelogs/ez_publish_3_8/changelog_3_6_x_3_7_x_to_3_8_0
http://issues.ez.no/7025
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4852


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi