Vulnerabilidad en Pagetitle de PHPNUKE

Se ha descubierto una nueva vulnerabilidad en la entrada que pasa el parámetro pagetitle en el header.php, no siendo filtrada apropiadamente antes de mostrárselo de nuevo a el usuario (Janek Vind descubridor de la vulnerabilidad).

Esta vulnerabilidad permite que se introduzca código externo y pueda ejecutarse código html o scripts en la vista de los usuarios, en el entorno del sitio afectado.

La vulnerabilidad ha sido confirmada en phpnuke 7.8 pero pueda que afecta a versiones anteriores

Está considera CRÍTICA.

No afecta a NUKE ET
Afecta a pesar de tener NukeSentinel.
No afecta a versiones con parche chanserv (error que sale en estas versiones The html tags you attempted to use are not allowed).

(más…)

Más Novedades para la Seguridad

Más parches y actualizaciones de addons de Seguridad. Por una parte PHP-Nuke Patched 2.8 que incorpora los últimos fixes a los bugs encontrados. Por otra parte NukeSentinel 2.1.2 especialmente diseñada para PHP-Nuke 7.6. Podéis encontrarlos y descargarlos directamente desde www.nukeresources.com y www.nukescripts.net respectivamente.

Por cierto ahora NSN y NukeResources (Nukefixes, NukeSecurity, … ) se han unido. Lo que no ha conseguido Francisco Burzi (creador de PHP-Nuke) con Bob Marison (administrador de NukeScripts NSN) durante tanto tiempo, ahora es Chatserv quien entabla estas relaciones. Todo sea para una mejora global, coordinada y conjunta.

Problemas de Seguridad en la Administración de PHP Nuke 7.5

¿Nuevo Bug? Si. Hace días que se comenta una grave vulnerabilidad en PHP-Nuke 7.5. Su nuevo sistema de Administración permite acceder como usuario anónimo a cualquiera de sus módulos. Pudiendo modificar y eliminar cualquier cosa.
Un bug realmente grave y peligroso.

Se propone instalar o actualizar a NukeSentinel 2.0.2. Podéis ver la noticia en NSN. Por su lado ChatServ también ha posteado su FIX. Podéis verlo en sus Foros. http://www.nukefixes.com/ftopict-1012.html

Si alguien tiene más información, por favor postead vuestros comentarios.