Aca dejo la informacion sacada de
http://www.postnuke-hispano.com
El fallo que se ha descubierto consiste en una vulnerabilidad del modulo members_list,por la cual, un atacante se puede hacer con datos sensibles de nuestro hosting como son el nombre de la base de datos y la ruta absoluta en nuestro servidor.
Podeis encontrar mas informacion en la siguiente direccion PostNuke Security la informacion la encontrareis en ingles al igual que la informacion de esta pagina
www.securiteam.com/unixfocus/5UP0M1P9FI.html donde encontrareis informacion de como probar si estais desprotegidos.
Para solucionar este fallo de seguridad es tan sencillo como editar el fichero situado en la carpeta /includes/legacy.php , y modificar las lineas de la 257 a la 259 de la siguiente manera.Este no es un parche oficial de PostNuke pero hasta que no tengamos novedades es la mejor solucion que hemos encontrado para desacernos temporalmente de este fallo.
Código PHP:
// $lcmessage = $message . "< br>" .
// "Program: " . $prg . " - " . "Line N.: " . $line . "< br>" .
// "Database: " . $db->database . "< br> ";
salu2
