20:01
30/6/2014

* Dziura w Disqus – wykonanie kodu PHP

Zdalne wykonanie dowolnego kodu PHP na serwerze na którym zainstalowano wtyczkę Disqus oraz WordPressa 3.1.4 i PHP w wersji 5.1.6 (lub wcześniejszej) jest możliwe …ale powierzchnia ataku jak widać po wersjach wymaganych “zależności” jest stosunkowo mała. Disqus wydał już patcha. Za błąd odpowiadał parser, który korzystał z …funkcji eval() . Szczegóły u Sucuri.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

4 komentarzy

Dodaj komentarz
  1. eval() sux

  2. evil() :)

  3. > 2014
    > używanie eval()
    dobre sobie

    • Albo sie umie używać, albo się nie umie używać, jak się nie umie używać to niech się nie używa…. niezależnie od roku.

      Głupie gadanie

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.