Összefoglaló
Cybozu Garoon néhány sérülékenységét jelentették, amelyet kihasználva a rosszindulatú felhasználók SQL befecskendezéses támadásokat hajthatnak végre.
Leírás
- Bizonyos meghatározatlan bemeneti kapcsolatban az oldalra navigáláshoz a kapcsolat nincs megfelelően ellenőrizve mielőtt felhasználnák az SQL lekérdezésben. Ez kihasználható az SQL lekérdezések módosítására, tetszőleges SQL kód befecskendezésével.
A sérülékenységet a 3.0.0, 3.0.3, 3.5.0, 3.5.5, és a 3.7.0, 3.7.2. verziókban jelentették. - Bizonyos nem részletezett bemeneti kapcsolatban az API nincs megfelelően ellenőrizve mielőtt felhasználnák az SQL lekérdezésben. Ez kihasználható az SQL lekérdezések módosítására, tetszőleges SQL kód befecskendezésével.
A sérülékenységet a 3.7.0. és a 3.7.2.-es verzióban jelentették.
Megoldás
Frissítsen a 3.7.3.-as verzióra.
Hivatkozások
SECUNIA 56554
CVE-2013-6930 - NVD CVE-2013-6930
CVE-2013-6931 - NVD CVE-2013-6931