BlueSoft termékek SQL befecskendezés sérülékenységei


2011. július 18. 13:11

CH azonosító

CH-5195

Angol cím

BlueSoft Multiple SQL Injection Vulnerability

Felfedezés dátuma

2011.07.17.

Súlyosság

Közepes

Érintett rendszerek

Auction Site Script
BlueSoft
Classifieds Site Script
Real Estate Listing CMS

Érintett verziók

BlueSoft Real Estate Listing CMS 2.x
BlueSoft Auction Site Script
BlueSoft Classifieds Site Script

Összefoglaló

BlueSoft termékek olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak SQL befecskendezéses (SQL injection) támadások kezdeményezésére.

Leírás

  1. BlueSoft Real Estate Listing CMS
    Az search.php-nek a “realtor” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák.
    A sérülékenység a 2.0 verzióban vált ismertté, de más kiadások is érintettek lehetnek.
  2. BlueSoft Auction Site Script
    Az item.php-nek a “id” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák.
  3. BlueSoft Classifieds Site Script
    Az search.php-nek a “c” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák.

Mindhárom sérülékenység kihasználható az SQL lekérdezések módosítására tetszőleges kód
befecskendezésével.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 45252
SECUNIA 45249
SECUNIA 45248

Legfrissebb sérülékenységek
CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége
CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység
CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység
CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység
CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység
CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység
CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-68428 – jsPDF path traversal sérülékenysége
Tovább a sérülékenységekhez »