Érintett rendszerek
PHP Real Estate Classifieds ScriptPHP Real Estate Script
Érintett verziók
PHP Real Estate Script PHP Real Estate Classifieds Script
Összefoglaló
A PHP Real Estate Classifieds egy sérülékenységét jelentették, melyet a támadók SQL befecskendezéses támadások folytatásra használhatnak ki.
Leírás
A PHP Real Estate Classifieds egy sérülékenységét jelentették, melyet a támadók SQL befecskendezéses támadások folytatásra használhatnak ki.
A fullnews.php “id” paraméterének átadott bemenet nincs kellően ellenőrizve mielőtt az SQL lekérdezésekben felhasználnák. Ezt kihasználva az SQL lekérdezések megváltoztathatóak tetszőleges SQL kód befecskendezésével.
A sikeres kiaknázás pl. lehetővé teszi az adminisztrátori felhasználói nevek és jelszavak megszerzését.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
Gyártói referencia: phprealestatescript.com
SECUNIA 28119