Összefoglaló
A Miniweb sérülkenységét jelentették, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadást indíthatnak.
Leírás
A Miniweb sérülkenységét jelentették, melyet rosszindulatú támadók SQL efecskendezéses támadásokra használhatnak.
A “historymonth” paraméternek átadott bevitel az index.php-ban (amikor a “module” “blogwriter”-re van állítva) nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekhez használnák. Ez kihasználható az SQL lekérdezések manipulálására tetszőleges kód befecskendezésével.
A sérülékenységet a 2.0. verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Szűrje a rosszindulatú karaktereket és karakterláncokat proxy segítségével!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 30085
Egyéb referencia: milw0rm.com
