Alstrasoft EPay Enterprise “cid” SQL befecskendezés sérülékenység

2010. április 26. 22:00

CH azonosító

CH-3081

Felfedezés dátuma

2010.04.26.

Súlyosság

Közepes

Érintett rendszerek

AlstraSoft
EPay Enterprise

Érintett verziók

AlstraSoft EPay Enterprise 4.x

Összefoglaló

Az Alstrasoft EPay Enterprise olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

Leírás

Az Alstrasoft EPay Enterprise olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

A “cid” paraméterrel shop.php-nak vagy shop.htm-nek átadott bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

A sérülékenység a 4.13. verzióban található, de egyéb verziók is érintettek lehetnek.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzésének érdekében! A sérülékenységet a 4.14. verzióban javítják.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-7656 – Google Chrome sérülékenysége

CVE-2025-6541 – TP-Link sérülékenysége

CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége

CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége

CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége

CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége

CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége

CVE-2025-9968 – ASUS Armoury Crate sérülékenysége

CVE-2025-9337 – ASUS Armoury Crate sérülékenysége

Tovább a sérülékenységekhez »

Alstrasoft EPay Enterprise “cid” SQL befecskendezés sérülékenység