CH azonosító
CH-6365Angol cím
Campaign Enterprise "SID" SQL Injection VulnerabilityFelfedezés dátuma
2012.02.05.Súlyosság
AlacsonyÖsszefoglaló
A Campaign Enterprise sérülékenysége vált ismertté, amelyet kihasználva rosszindulatú felhasználók SQL befecskendezéses (SQL injection) támadásokat indíthatnak.
Leírás
A Command-nak (amikor “ACTION” értéke “ADMINISTRATION” és “ALTCOMMAND” értéke “REFRESH”) a “SID” POST paraméterben átadott bemeneti adata nincs megfelelően megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.
A sérülékenységet a 11.0.421 verzióban jelentették. Más kiadások is érintettek lehetnek.
Megoldás
Javítva a 11.0.512 verzióban.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: packetstormsecurity.org
SECUNIA 47783