Alstrasoft EPay Enterprise “cid” SQL befecskendezés sérülékenység

2010. április 26. 22:00

CH azonosító

CH-3081

Felfedezés dátuma

2010.04.26.

Súlyosság

Közepes

Érintett rendszerek

AlstraSoft
EPay Enterprise

Érintett verziók

AlstraSoft EPay Enterprise 4.x

Összefoglaló

Az Alstrasoft EPay Enterprise olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

Leírás

Az Alstrasoft EPay Enterprise olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

A “cid” paraméterrel shop.php-nak vagy shop.htm-nek átadott bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

A sérülékenység a 4.13. verzióban található, de egyéb verziók is érintettek lehetnek.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzésének érdekében! A sérülékenységet a 4.14. verzióban javítják.

Legfrissebb sérülékenységek

CVE-2023-4863 – Google Chrome sérülékenysége

CVE-2023-40186 – FreeRDP sérülékenysége

CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége

CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége

CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége

CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége

CVE-2023-38831 – RARLabs WinRAR sérülékenysége

CVE-2023-38035 – Ivanti Sentry sérülékenysége

CVE-2023-20212 – ClamAV sérülékenysége

CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége

Tovább a sérülékenységekhez »

Alstrasoft EPay Enterprise “cid” SQL befecskendezés sérülékenység