Flo CMS "archivem" SQL befecskendezéses sérülékenység

Flo CMS “archivem” SQL befecskendezéses sérülékenység

2013. szeptember 5. 15:58

CH azonosító

CH-9734

Angol cím

Flo CMS "archivem" SQL Injection Vulnerability

Felfedezés dátuma

2013.09.04.

Súlyosság

Közepes

Érintett rendszerek

CMScout CMS
CMScout group

Érintett verziók

Flo CMS

Összefoglaló

Flo CMS “archivem” SQL befecskendezéses sérülékenység.

Leírás

Egy sérülékenységet jelentettek be a Flo CMS-el kapcsolatban, amelyet a rosszindulatú támadó kihasználva SQL befecskendezéses támadást hajthat végre.

Az “archivem” mezőn bevitt adatok GET paraméterezése a /blog/index.asp-hez nem megfelelően előkészített mielőtt az SQL lekérdezésben alkalmazva lenne. Ezt kihasználva a rosszindulatú támadó módosítani tudja az SQL lekérdezéseket tetszőleges SQL kód befecskendezésével.

Megoldás: jelenleg nincs hivatalos megoldás.

A sérülékenységet az Ashiyane Digital Security Team fedezte fel.

Megoldás

Jelenleg nincs.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-24993 – Microsoft Windows NTFS Heap-Based Buffer Overflow sebezhetősége

CVE-2025-24991 – Microsoft Windows NTFS Out-Of-Bounds Read sebezhetősége

CVE-2025-24985 – Microsoft Windows Fast FAT File System Driver Integer Overflow sebezhetősége

CVE-2025-24984 – Microsoft Windows NTFS Information Disclosure sebezhetősége

CVE-2025-24983 – Microsoft Windows Win32k Use-After-Free sebezhetősége

CVE-2025-26633 – Microsoft Windows Management Console (MMC) Improper Neutralization sebezhetősége

CVE-2025-27363 – FreeType srülékenysége

CVE-2025-24201 – Apple WebKit sérülékenysége

CVE-2024-13161 – Ivanti Endpoint Manager (EPM) Absolute Path Traversal sebezhetősége

Tovább a sérülékenységekhez »

Flo CMS “archivem” SQL befecskendezéses sérülékenység