Questa news vi informa della presenza di una vulnerabilità con il modulo Members_List che risulta corretta con un file di patch. Per la sicurezza del vostro sito è quindi consigliato di aggiornare con questa patch i vostri siti eNvolution al più presto possibile.

Potete scaricare la patch da qui.

Avviso Completo 

Tipo di vulnerabilità: iniezione SQL malizioso e scripting cross site

DESCRIZIONE

Le versioni vulnerabili possono essere exploitate attraverso una iniezione SQL dal modulo Members_List incluso nel pacchetto core di eNvolution.

SOLUZIONE

Si raccomanda calorosamente a tutti i web admin di applicare l'ultima patch di sicurezza per eNvolution 1.2.x disponibile da ora agli indirizzi segnati nella lista più in basso. 

REFERENZE
  
Nessuna referenza per questo exploit è correntemente disponibile sulla rete.
 
PACCHETTI AGGIORNATI

1. Patch Members_List per eNvolution 1.2.x (formato .zip)
   http://www.openitalia.net/modules.php?op=modload&name=Downloads&file=index&req=getit&lid=468

2. Patch Members_List per eNvolution 1.2.x (formato .tar.gz)
   http://www.openitalia.net/modules.php?op=modload&name=Downloads&file=index&req=getit&lid=467

ULTERIORI ISTRUZIONI

Basta rimpiazzare il file contenuto in questa patch nella tua directory Members_List di eNvolution per patchare il tuo sistema. 

CREDITI
  
Questo exploit è stato originariamente scoperto da JeiAr, caposicurezza del sito gulftech.org della GulfTech Computers (http://www.gulftech.org/) ed è stato riportato sul loro sito web il 02-01-2004. Per la patch per eNvolution i crediti vanno a putino (www.maxdev.com).