Se ha anunciado una vulnerabilidad en LiveZilla que podría permitir a un atacante la ejecutación de código arbitrario en los sistemas afectados.
LiveZilla es una solución online, que permite a cualquier web utilizar un sistema de chat, principalmente orientada al soporte técnico 'Help Desk'.
Según los investigadores que han reportado la vulnerabilidad 'Curesec Research Team', LiveZilla estaría presente en un millón y medio de webs.
Recursos afectados
- Este fallo fue reportado a LiveZilla por los investigadores el pasado 10 de Octubre y afecta a la versión 5.0.1.
Impacto en los sistemas afectados
- La vulnerabilidad tiene asignada el CVE 'CVE-2013-6225' y podría permitir la ejecución de código remoto a través del fichero 'mobile/php/translation/index.php'.
Recomendación
- La versión 5.1.0.0 que soluciona esta vulnerabilidad puede ser descargada desde: https://www.livezilla.net/downloads/pubfiles/LiveZilla_5.1.0.0_Full.exe
Más información:
- Una al día (18/11/2013) http://unaaldia.hispasec.com/2013/11/ejecucion-de-codigo-en-livezilla.html
- Remote Code Execution in LiveZilla https://cureblog.de/2013/11/remote-code-execution-in-livezilla/
Fuente: Hispasec