BlueSoft termékek SQL befecskendezés sérülékenységei

2011. július 18. 13:11

CH azonosító

CH-5195

Angol cím

BlueSoft Multiple SQL Injection Vulnerability

Felfedezés dátuma

2011.07.17.

Súlyosság

Közepes

Érintett rendszerek

Auction Site Script
BlueSoft
Classifieds Site Script
Real Estate Listing CMS

Érintett verziók

BlueSoft Real Estate Listing CMS 2.x
BlueSoft Auction Site Script
BlueSoft Classifieds Site Script

Összefoglaló

BlueSoft termékek olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak SQL befecskendezéses (SQL injection) támadások kezdeményezésére.

Leírás

BlueSoft Real Estate Listing CMS
Az search.php-nek a “realtor” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák.
A sérülékenység a 2.0 verzióban vált ismertté, de más kiadások is érintettek lehetnek.
BlueSoft Auction Site Script
Az item.php-nek a “id” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák.
BlueSoft Classifieds Site Script
Az search.php-nek a “c” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák.

Mindhárom sérülékenység kihasználható az SQL lekérdezések módosítására tetszőleges kód
befecskendezésével.