AstroSPACES “id” SQL befecskendezéses sérülékenység

CH azonosító

CH-1658

Felfedezés dátuma

2008.10.15.

Súlyosság

Közepes

Érintett rendszerek

AstroSPACES
P3NET

Érintett verziók

P3NET AstroSPACES 1.x

Összefoglaló

Az AstroSPACES olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

Leírás

Az AstroSPACES olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

A profile.php “id” paraméteréhez rendelt bevitel a nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

Sikeres kihasználás esetén megszerezhetőek többek között adminisztrátori felhasználónevek és jelszavak.

A sérülékenység az 1.1.1-es verzióban található, de egyéb verziók is érintettek lehetnek.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében