В PHP библиотеках XML-RPC (http://phpxmlrpc.sourceforge.net/) и PEAR XML-RPC (http://pear.php.net/package/XML_RPC/) снова обнаружена уязвимость (https://www.opennet.ru/base/cgi/1124210286_1133.txt.html), позволяющая запустить злоумышленнику свой PHP код.

Опасность грозит прежде всего пользователям систем управления контентом в которых используется XML-RPC (например, PostNuke, Drupal, b2evolution, TikiWiki).

Механизм проблемы, тот же что и в прошлой ошибке (http://www.securityfocus.com/bid/14088), найденной в конце июня, - подстановка через eval(). Команда, Hardened-PHP Project (http://www.hardened-php.net/), обнаружившая уязвимость, рекомендовала разработчикам XML-RPC полностью избавиться от практики использования eval() в коде библиотеки.

URL: http://itua.info/3104.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=5972