CH azonosító
CH-9060Angol cím
Hornbill Supportworks ITSM Enterprise SQL Injection VulnerabilityFelfedezés dátuma
2013.04.28.Súlyosság
AlacsonyÉrintett rendszerek
HornbillSupportworks ITSM Enterprise
Érintett verziók
Hornbill Supportworks ITSM Enterprise 3.x
Összefoglaló
Az Hornbill Supportworks ITSM Enterprise egy sérülékenységét jelentették, amit kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.
Leírás
A calldiary.php részére átadott nem részletezett bemeneti adat nem megfelelően van megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ezt kihasználva módosítani lehet az SQL lekérdezéseket tetszőleges SQL parancsok befecskendezésével.
A sérülékenységet a 3.4.14 ás korábbi verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 53199
Egyéb referencia: www.reactionpenetrationtesting.co.uk