20:01
30/6/2014

* Dziura w Disqus – wykonanie kodu PHP

Autor: Piotr Konieczny | Tagi:  

Zdalne wykonanie dowolnego kodu PHP na serwerze na którym zainstalowano wtyczkę Disqus oraz WordPressa 3.1.4 i PHP w wersji 5.1.6 (lub wcześniejszej) jest możliwe …ale powierzchnia ataku jak widać po wersjach wymaganych “zależności” jest stosunkowo mała. Disqus wydał już patcha. Za błąd odpowiadał parser, który korzystał z …funkcji eval() . Szczegóły u Sucuri.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.
 
Niebezpiecznik

4 komentarzy

Dodaj komentarz
  1. Pluto 2014.06.30 20:51 | # | Reply

    eval() sux

  2. Kamil 2014.06.30 21:43 | # | Reply

    evil() :)

  3. Grzechooo 2014.07.01 15:32 | # | Reply

    > 2014
    > używanie eval()
    dobre sobie

    • ezio 2014.07.02 08:39 | # |

      Albo sie umie używać, albo się nie umie używać, jak się nie umie używać to niech się nie używa…. niezależnie od roku.

      Głupie gadanie

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: