Alstrasoft EPay Enterprise “cid” SQL befecskendezés sérülékenység

2010. április 26. 22:00

CH azonosító

CH-3081

Felfedezés dátuma

2010.04.26.

Súlyosság

Közepes

Érintett rendszerek

AlstraSoft
EPay Enterprise

Érintett verziók

AlstraSoft EPay Enterprise 4.x

Összefoglaló

Az Alstrasoft EPay Enterprise olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

Leírás

Az Alstrasoft EPay Enterprise olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

A “cid” paraméterrel shop.php-nak vagy shop.htm-nek átadott bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

A sérülékenység a 4.13. verzióban található, de egyéb verziók is érintettek lehetnek.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzésének érdekében! A sérülékenységet a 4.14. verzióban javítják.

Legfrissebb sérülékenységek

CVE-2025-54100 – PowerShell Remote Code Execution sérülékenység

CVE-2025-64671 – GitHub Copilot for Jetbrains Remote Code Execution sérülékenység

CVE-2025-62221 – Microsoft Windows Use After Free sérülékenység

CVE-2025-55754 – Apache Tomcat sérülékenysége

CVE-2025-42880 – SAP Solution Manager Code Injection sérülékenység

CVE-2025-42928 – SAP jConnect sérülékenység

CVE-2021-35211 – Serv-U Remote Memory Escape sérülékenysége

CVE-2025-66644 – Array Networks ArrayOS AG OS Command Injection sérülékenysége

CVE-2022-37055 – D-Link Routers Buffer Overflow sérülékenysége

CVE-2025-54988 – Apache Tika sérülékenysége

Tovább a sérülékenységekhez »

Alstrasoft EPay Enterprise “cid” SQL befecskendezés sérülékenység