RiotPix “username” és “forumid” SQL befecskendezés sérülékenység

2009. január 6. 23:00

CH-1850

2009.01.06.

N/A RiotPix 0.x

A RiotPix olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

A RiotPix olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

Az index.php “username” paraméteréhez rendelt bevitel nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
A read.php “forumid” paraméteréhez rendelt bevitel nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

A sérülékenységek a 0.61. verzióban találhatók, egyéb verziók is érintettek lehetnek.

CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége

CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység

CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység

CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység

CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység

CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység

CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység

CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység

CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége

CVE-2025-68428 – jsPDF path traversal sérülékenysége