CH azonosító
CH-7101Angol cím
Support Tickets MyTickets "MyTickets_language" SQL Injection VulnerabilityFelfedezés dátuma
2012.06.26.Súlyosság
KözepesÖsszefoglaló
A Support Tickets MyTickets olyan sérülékenységét jelentették, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat indíthatnak.
Leírás
A “MyTickets_language” cookie értéken keresztül az index.php részére átadott bemeneti adat nincs megfelelően megtisztítva az include/system/general/define.php script-en belül, mielőtt egy SQL lekérdezésben felhasználásra kerül. Ezt kihasználva tetszőleges SQL parancsot lehet lefuttatni.
A sérülékenységet az 2.0.8 verzióban jelentették, de korábbi kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 49557
Egyéb referencia: www.exploit-db.com
