CH azonosító
CH-7491Angol cím
Joomla! Spider Calendar Lite Component "date" SQL Injection VulnerabilityFelfedezés dátuma
2012.08.30.Súlyosság
KözepesÉrintett rendszerek
JoomlaSpider Calendar Lite component
Érintett verziók
Spider Calendar Lite 1.x (component for Joomla!)
Összefoglaló
A Joomla! Spider Calendar Lite komponensének sérülékenysége vált ismertté, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.
Leírás
Az index.php részére (amikor “option” értéke “com_spidercalendar”) a “date” paraméteren keresztül átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.
A sérülékenységet az 1.4 verzióban jelentették, de más kiadások is érintettek lehetnek.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 50457
Egyéb referencia: packetstormsecurity.org
