Összefoglaló
Egy sebezhetőséget azonosítottak a Newsletter MX-ben, melyet a támadók kiaknázhatnak tetszőleges SQL parancsok lefuttatására.
Leírás
A Newsletter MX egy olyan sebezhetőségét jelentették, melyet támadók kiaknázhatnak SQL befecskendezéses támadások lefolytatására.
Az admin/admin_mail_adressee.asp “ID” paraméterének átadott bement nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
A sebezhetőséget az 1.0.2. verzióban jelentették. Más verziók is lehetnek érintettek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.vupen.com
Gyártói referencia: milw0rm.com
SECUNIA 23510
CVE-2006-6787 - NVD CVE-2006-6787