A Model Search “cat” SQL befecskendezéses sérülékenysége

CH azonosító

CH-1233

Felfedezés dátuma

2008.05.17.

Súlyosság

Közepes

Érintett rendszerek

HispaH
Model Search

Érintett verziók

HispaH Model Search x

Összefoglaló

A Model Search sérülékenységét jelentették, melyet rosszindulatú támadók SQL támadások kezdeményezésére használhatnak.

Leírás

A Model Search sérülékenységét jelentették, melyet rosszindulatú támadók SQL támadások kezdeményezésére használhatnak.

A “cat” paraméternek átadott bevitel a cat.php-ben nincs megfelelően megtisztítva mielőtt SQL lekérdezésekhez használnák. Ez kihasználható az SQL lekérdezések manipulálására tetszőleges kód befecskendezésével.

A sikeres kiaknázás lehetővé teszi például az adminisztrátori felhasználónevek és jelszavak kinyerését.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében