vulnerabilidad anunciada para LiveZilla que podría permitir a un hacker lograr ejecutar código arbitrario en los sistemas afectados.

LiveZilla es una solución online, que puede formar parte de cualquier web para dotarla de un sistema de chat, principalmente orientada al soporte técnico ‘Help Desk’. Según los investigadores que han reportado la vulnerabilidad ‘Curesec Research Team’, LiveZilla estaría presente en un millón y medio de webs. 
 
Este fallo fue reportado a LiveZilla por los investigadores el pasado 10 de Octubre y afecta a la versión 5.0.1. 
 
La vulnerabilidad tiene asignada el CVE ‘CVE-2013-6225’ y podría permitir la ejecución de código remoto a través del fichero ‘mobile/php/translation/index.php’. 
 
$langFileLocation = ‘.’;
$LZLANG = Array();
if (isset($_GET[‘g_language’])) {
$language = ($_GET[‘g_language’] != ”) ? $_GET[‘g_language’] : ‘ein’; require ($langFileLocation . ‘/langmobileorig.php’); $LZLANGEN = $LZLANG; if (file_exists($langFileLocation . ‘/langmobile’ . $language . ‘.php’)) { require ($langFileLocation . ‘/langmobile’ . $language . ‘.php’); <— eeeek it is a bug } 
 
El problema reside en que la variable $_GET[‘g_language’] no está correctamente validada, y podría ser especialmente manipulada pudiendo permitir la ejecución de código arbitrario. 
 
La versión 5.1.0.0 que soluciona esta vulnerabilidad puede ser descargada desde: 
https://www.livezilla.net/downloads/pubfiles/LiveZilla_5.1.0.0_Full.exe 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/11/ejecucion-de-codigo-en-livezilla.html#comments
 
Más información:
 
Remote Code Execution in LiveZilla
https://cureblog.de/2013/11/remote-code-execution-in-livezilla/

Fuente:
Laboratorio Hispasec
www.hispasec.com

Imagen: 
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
 
Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar