CH azonosító
CH-4155Angol cím
PHP-addressbook "group_name" SQL Injection VulnerabilityFelfedezés dátuma
2010.12.29.Súlyosság
AlacsonyÖsszefoglaló
A PHP-addressbook olyan sérülékenysége vált ismertté, amelyet kihasználva rosszindulatú felhasználók SQL befecskendezéses (injection) támadásokat tudnak végrehajtani.
Leírás
A “group_name” paraméterrel a group.php-nak átadott bemeneti adat nincs megfelelően tisztázva az SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.
A sikeres kihasználás feltétele, hogy a “magic_quotes_gpc” le legyen tiltva.
A sérülékenység a 6.2.5-ös verzióban található, egyéb verziók is érintettek lehetnek.