Aigaion “ID” SQL befecskendezés sérülékenység

2010. december 8. 10:04

CH azonosító

CH-4024

Angol cím

Aigaion "ID" SQL Injection Vulnerability

Felfedezés dátuma

2010.12.06.

Súlyosság

Alacsony

Érintett rendszerek

Aigaion
The Aigaion Team

Érintett verziók

Aigaion 1.x

Összefoglaló

Az Aigaion olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat tudnak végrehajtani.

Leírás

Az “ID” paraméterrel az indexlight.php-nek átadott (amikor a “page” beállítása “export”, a “type” beállítása “single” és a “format” beállítása “RIS”) bemeneti adat nincs megfelelően tisztázva az SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.

A sérülékenységet az 1.3.4-es verzióban jelentették. Más verziók is érintettek lehetnek.

Megoldás

Frissítsen a 2.2-es verzióra.

Legfrissebb sérülékenységek

CVE-2024-41110 – Docker Engine AuthZ pluginok sérülékenysége

CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége

CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége

CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége

CVE-2024-6385 – GitLab CE/EE sérülékenysége

CVE-2024-22280 – VMware Aria Automation sérülékenysége

CVE-2024-5217 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-5178 – ServiceNow hiányos feketelista sérülékenysége

CVE-2024-4879 – Service Now Inpud Validation sérülékenysége

CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége

Tovább a sérülékenységekhez »

Aigaion “ID” SQL befecskendezés sérülékenység