Un nuovo bug, scoperto dal polacco krasza, riguarda tutte le versioni 7.x e permette la visualizzazione dei dati dell'amministratore God nel blocco Last Referers. Non essendo ancora stato realizzato un fix si raccomanda di cancellare o rinominare il blocco Last Referers.
Il bug è localizzato nel file index.php intorno alla riga 38:
| Codice |
| $result = $db->sql_query("INSERT INTO ".$prefix."_referer VALUES (NULL, '$referer')"); |
Il potenziale hacker inganna PHPNuke facendogli credere di arrivare da una pagina web esterna (referer) quando invece si tratta di una stringa di attacco con la quale si entra nel db prendendo possesso dell' amministrazione dell'intero sito.
Ulteriori notizie si possono trovare all'indirizzo:
http://seclists.org/fulldisclosure/2007/Feb/0463.html
