Aigaion “ID” SQL befecskendezés sérülékenység


2010. december 8. 10:04

CH azonosító

CH-4024

Angol cím

Aigaion "ID" SQL Injection Vulnerability

Felfedezés dátuma

2010.12.06.

Súlyosság

Alacsony

Érintett rendszerek

Aigaion
The Aigaion Team

Érintett verziók

Aigaion 1.x

Összefoglaló

Az Aigaion olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat tudnak végrehajtani.

Leírás

Az “ID” paraméterrel az indexlight.php-nek átadott (amikor a “page” beállítása “export”, a “type” beállítása “single” és a “format” beállítása “RIS”) bemeneti adat nincs megfelelően tisztázva az SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.

A sérülékenységet az 1.3.4-es verzióban jelentették. Más verziók is érintettek lehetnek.

Megoldás

Frissítsen a 2.2-es verzióra.

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 42463

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-49719 – Microsoft SQL Server Information Disclosure sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
Tovább a sérülékenységekhez »