Comdev News Publisher “arcmonth” SQL befecskendezéses sérülékenység

2008. április 6. 22:00

CH azonosító

CH-1136

Felfedezés dátuma

2008.04.06.

Súlyosság

Közepes

Érintett rendszerek

Comdev
Comdev News Publisher

Érintett verziók

Comdev Comdev News Publisher 4.x

Összefoglaló

A Comdev News Publisher sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadást indíthatnak.

Leírás

A Comdev News Publisher sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadást indíthatnak.

Az “arcmonth” paraméternek átadott bemenet a home.news.php-ban (amikor az “arcyear” numerikus értékkel rendelkezik) nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekhez lenne használva. Ezt kihasználva az SQL lekérdezések tetszőleges kód befecskendezésével módosíthatók.

A sikeres kiaknázás lehetővé teszi például az adminisztrátori felhasználónevek és jelszavak kinyerését.

A sérülékenységet a 4.1.2 verzióra jelentették. Más verziók is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2023-28303 – Windows képmetsző sérülékenysége

CVE-2023-1289 – ImageMagick sérülékenysége

CVE-2023-1050 – Koc Energy Web Report System sérülékenysége

CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége

CVE-2023-25859 – Adobe Illustrator sérülékenysége

CVE-2023-25860 – Adobe Illustrator sérülékenysége

CVE-2023-25861 – Adobe Illustrator sérülékenysége

CVE-2023-26358 – Adobe Creative Cloud sérülékenysége

CVE-2023-26426 – Adobe Illustrator sérülékenysége

CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége

Tovább a sérülékenységekhez »

Comdev News Publisher “arcmonth” SQL befecskendezéses sérülékenység