Уязвимость позволяет получить доступ к админке трекера, ей подвержены все версии Keitaro до версии 7.7.10 (за исключением 6.7.2).
Способы устранения уязвимости
- Обновиться до
7.7.10
или6.7.2
; - Добавить дополнитульную HTTP-авторизацию на директорию /admin.
Пароли для админа и базы данных менять не обязательно, доступ к этой информации недоступен из интерфейса.
Как обновить для 6.7.1
- Скачайте файл http://keitaro.io/uploads/index.phtml.txt;
- Замените существующий файл application/views/updates/index.phtml;
- Зайдите через админку на странице Обновления и нажмите «Обновить».
HTTP-авторизация для Apache
Здесь можно сгенерировать файлы .htaccess и .htpasswd
http://tools.dynamicdrive.com/password/
HTTP-авторизация для Nginx
http://geeksmagazine.org/post/348/nginx-zaschita-sajta-parolem