Amoeba CMS sérülékenységek

CH azonosító

CH-4163

Angol cím

Amoeba CMS Multiple Vulnerabilities

Felfedezés dátuma

2011.01.03.

Súlyosság

Közepes

Érintett rendszerek

Amoeba
Amoeba CMS

Érintett verziók

SECUNIA 42777

Összefoglaló

Az Amoeba CMS oyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak SQL befecskendezés és cross-site request forgery (XSRF/CSRF) támadások okozására.

Leírás

  1. A “cpID” paraméterrel az index.php-nek átadott bemeneti adat (amikor “mod” értéke “cat” és “com” értéke pl. “news”) nem kerül megfelelően ellenőrzésre, mielőtt az SQL lekérdezésekben felhasználásra kerülne. Ez tetszőleges SQL kód befecskendezésével kihasználható az SQL lekérdezések manipulálására.
  2. Az alkalmazás lehetővé teszi, hogy a felhasználók érvényesség ellenőrzés nélküli HTTP kérésekkel bizonyos cselekedeteket hajtsanak végre. Ez kihasználható egy másik adminisztratív felhasználói fiók létrehozására, amennyiben a bejelentkezett felhasználó meglátogat egy rosszindulatú weboldalt.

A sérülékenységeket az 1.0.1. verzióban ismerték fel, de más verziók is érintettek lehetnek.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében. Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat se, amíg be van jelentkezve az alkalmazásba.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4322 – WordPress sérülékenység
CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége
CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége
CVE-2025-20271 – Cisco AnyConnect VPN sérülékenység
CVE-2025-43200 – Apple Multiple Products Unspecified sérülékenysége
CVE-2023-0386 – Linux Kernel Improper Ownership Management sebezhetősége
CVE-2023-33538 – TP-Link Multiple Routers Command Injection sérülékenysége
CVE-2025-3464 – Asus Armoury Crate AsIO3.sys authorization bypass sérülékenysége
CVE-2025-4123 – Grafana cross-site scripting (XSS) sebezhetősége
Tovább a sérülékenységekhez »