Összefoglaló
Az ITechBids olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
Leírás
Az ITechBids olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
A feedback.php “user_id” paraméteréhez, a category.php “cate_id” paraméteréhez, a news.php “id” paraméteréhez, és a itechd.php “productid” paraméteréhez rendelt bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
Egyéb scriptek is érintettek lehetnek.
A sérülékenységek a 8.0. verzióban találhatók, de más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzésének érdekében!
Szűrje a kártékony karaktereket és karaktersorozatokat egy proxyval!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 36437
Egyéb referencia: milw0rm.com