CH azonosító
CH-7457Angol cím
Joomla! Komento Component RSS Feed "cid" SQL Injection VulnerabilityFelfedezés dátuma
2012.08.26.Súlyosság
KözepesÖsszefoglaló
A Joomla! Komento komponensének sérülékenysége vált ismertté, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.
Leírás
Az index.php/component/komento/rss részére (amikor “view” értéke “rss”) a “cid” paraméteren keresztül átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.
A sérülékenységet az 1.0.2769 free edition-ben jelentették, de más kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 50382
Egyéb referencia: stackideas.com
Egyéb referencia: packetstormsecurity.org