Érintett rendszerek
Advanced Image HostingYABSoft
Érintett verziók
YABSoft Advanced Image Hosting 2.X
Összefoglaló
Az Advanced Image Hosting (AIH) egy olyan sérülékenységét jelentették, amelyet
a támadók kihasználhatnak SQL befecskendezéses támadások folytatására.
Leírás
Az Advanced Image Hosting (AIH) egy olyan sérülékenységét jelentették, amelyet
a támadók felhasználhatnak SQL befecskendezéses támadások folytatására.
Az out.php “t” paraméterének átadott bemenet nincs megfelelően ellenőrizve, mielőtt
felhasználnák azt az SQL lekérdezésekben. Ezt kihasználva megváltoztathatók az
SQL lekérdezések tetszőleges kód befecskendezésével.
A sikeres kihasználás például lehetővé teszi az adminisztrátor felhasználók nevének
és jelszavának megszerzését.
A sérülékenységet a 2.1 verzióban jelentették. Más verziók is lehetnek érintettek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
SECUNIA 30207