Alstrasoft EPay Enterprise “cid” SQL befecskendezés sérülékenység

2010. április 26. 22:00

CH azonosító

CH-3081

Felfedezés dátuma

2010.04.26.

Súlyosság

Közepes

Érintett rendszerek

AlstraSoft
EPay Enterprise

Érintett verziók

AlstraSoft EPay Enterprise 4.x

Összefoglaló

Az Alstrasoft EPay Enterprise olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

Leírás

Az Alstrasoft EPay Enterprise olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

A “cid” paraméterrel shop.php-nak vagy shop.htm-nek átadott bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

A sérülékenység a 4.13. verzióban található, de egyéb verziók is érintettek lehetnek.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzésének érdekében! A sérülékenységet a 4.14. verzióban javítják.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége

CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége

CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége

CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége

CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége

CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége

CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége

CVE-2017-1000353 – Jenkins RCE sérülékenysége

CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége

Tovább a sérülékenységekhez »

Alstrasoft EPay Enterprise “cid” SQL befecskendezés sérülékenység