CH azonosító
CH-5195Angol cím
BlueSoft Multiple SQL Injection VulnerabilityFelfedezés dátuma
2011.07.17.Súlyosság
KözepesÉrintett rendszerek
Auction Site ScriptBlueSoft
Classifieds Site Script
Real Estate Listing CMS
Érintett verziók
BlueSoft Real Estate Listing CMS 2.x
BlueSoft Auction Site Script
BlueSoft Classifieds Site Script
Összefoglaló
BlueSoft termékek olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak SQL befecskendezéses (SQL injection) támadások kezdeményezésére.
Leírás
- BlueSoft Real Estate Listing CMS
Az search.php-nek a “realtor” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák.
A sérülékenység a 2.0 verzióban vált ismertté, de más kiadások is érintettek lehetnek. - BlueSoft Auction Site Script
Az item.php-nek a “id” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák. - BlueSoft Classifieds Site Script
Az search.php-nek a “c” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák.
Mindhárom sérülékenység kihasználható az SQL lekérdezések módosítására tetszőleges kód
befecskendezésével.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)