NKInFoWeb “id_sp” SQL befecskendezés sérülékenység


2010. április 25. 22:00

CH azonosító

CH-3079

Felfedezés dátuma

2010.04.25.

Súlyosság

Közepes

Érintett rendszerek

N/A
NKInfoWeb

Érintett verziók

N/A NKInfoWeb v.species 2.x, 5.x

Összefoglaló

Az NKInFoWeb olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

Leírás

Az NKInFoWeb olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

Az loadorder.php “id_sp” paraméterének átadott bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

A sérülékenység a v.species 2.5. és 5.2.2.0. verzióiban található, de egyéb verziók is érintettek lehetnek.

Megoldás

Szűrje a rosszindulatú karaktereket és karakterláncokat proxy segítségével!

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 39609
Egyéb referencia: www.securityfocus.com
CVE-2010-1599 - NVD CVE-2010-1599

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége
CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége
CVE-2025-3102 – SureTriggers sérülékenysége
CVE-2025-24859 – Apache Roller sebezhetősége
CVE-2024-53197 – Linux Kernel Out-of-Bounds Access sérülékenysége
Tovább a sérülékenységekhez »