Web Calendar Pro “user_id” SQL beszúrás – Nemzeti Kiberbiztonsági Intézet

NBSZ-NKI website

Web Calendar Pro “user_id” SQL beszúrás

2008. április 23. 22:00

CH azonosító

CH-1171

Felfedezés dátuma

2008.04.23.

Súlyosság

Érintett rendszerek

Web Calendar Pro
Web-Site-Scripts.com

Érintett verziók

Web-Site-Scripts.com Web Calendar Pro 4.x

Összefoglaló

A Web Calendar Pro olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL beszúrásos támadást hajthatnak végre.

Leírás

A one_day.php “user_id” paraméterének átadott bevitel nincs megfelelően megtisztítva mielőtt SQL lekérdezésben használnák. Ezt kihasználva rosszindulatú támadók módosíthatják az SQL lekérdezéseket tetszőleges kód befecskendezésével.

Sikeres kihasználás esetén megszerezhetőek többek között adminisztrátori felhasználónevek és jelszavak.

A sérülékenység a 4.1. verzióban található, de egyéb verziók is érintettek lehetnek.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 29933
CVE-2008-1954 - NVD CVE-2008-1954
Egyéb referencia: milw0rm.com

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége

CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége

CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége

CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége

CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége

CVE-2011-3402 – Microsoft Windows Remote Code Execution sérülékenysége

CVE-2021-43226 – Microsoft Windows Privilege Escalation sérülékenysége

CVE-2021-43798 – Grafana Path Traversal sérülékenysége

CVE-2025-11371 – Gladinet CentreStack and TrioFox sérülékenysége

Tovább a sérülékenységekhez »

Ugrás a tetejére