Összefoglaló
Az INVOhost olyan sérülékenységei váltak ismertté, melyeket kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
Leírás
Az INVOhost olyan sérülékenységei váltak ismertté, melyeket kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
- Az “id” paraméternek átadott bemenet a site.php-ban nincs megfelelően tisztázva az SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.
- Az “search” paraméternek átadott bemenet a manual.php-ban nincs megfelelően tisztázva az SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.
A 2. sérülékenység sikeres kihasználásának feltétele, hogy a “magic_quotes_gpc” le legyen tiltva.
A sérülékenységek a 3.4-es verzióban találhatóak, egyéb verziók is érintettek lehetnek.
Megjegyzés: Más scriptek és paraméterek is érintettek lehetnek.
Megoldás
Szűrje a rosszindulatú karaktereket és karakterláncokat proxy segítségével!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)