Érintett rendszerek
Web Calendar ProWeb-Site-Scripts.com
Érintett verziók
Web-Site-Scripts.com Web Calendar Pro 4.x
Összefoglaló
A Web Calendar Pro olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL beszúrásos támadást hajthatnak végre.
Leírás
A one_day.php “user_id” paraméterének átadott bevitel nincs megfelelően megtisztítva mielőtt SQL lekérdezésben használnák. Ezt kihasználva rosszindulatú támadók módosíthatják az SQL lekérdezéseket tetszőleges kód befecskendezésével.
Sikeres kihasználás esetén megszerezhetőek többek között adminisztrátori felhasználónevek és jelszavak.
A sérülékenység a 4.1. verzióban található, de egyéb verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 29933
CVE-2008-1954 - NVD CVE-2008-1954
Egyéb referencia: milw0rm.com