SQL Injection en PostNuke Document Actions

Se ha publicado un fallo crítico en PostNuke que puede llevar a obtener los hashes MD5 de la contraseña de administrador, el fallo afecta a la versión 0.760-RC2.

El problema es una inyección de código SQL en el módulo modules/News/funcs.php en la función getArticles(). Cuando esta función está activa (se permite Other Stories), se puede agregar código en la variable catid.

El fallo ha sido reportado por SecurityReason.

< VOLVER A NOTICIAS