CH azonosító
CH-4326Angol cím
PHP-Fusion Auto Database System Module "SEARCHSTRING" SQL Injection VulnerabilityFelfedezés dátuma
2011.02.07.Súlyosság
KözepesÉrintett rendszerek
Auto Database SystemPHP-Fusion
Érintett verziók
Auto Database System 1.x (module for PHP-Fusion)
Összefoglaló
A PHP-Fusion Auto Database System modul olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak SQL befecskendezés (SQL injection) támadások okozására.
Leírás
A “SEARCHSTRING” POST paraméterrel a infusions/car_list_panel/search.php-nak átadott bemeneti adat nem kerül megfelelően ellenőrzésre mielőtt az SQL lekérdezésekben felhasználásra kerülne. Ez kihasználható az SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével
A sérülékenység sikeres kihasználásához a “magic_quotes_gpc” kikapcsolt állapota szükséges.
A sérülékenységet az 1.0. verzióban ismerték fel, de más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
