BlueSoft termékek SQL befecskendezés sérülékenységei

CH azonosító

CH-5195

Angol cím

BlueSoft Multiple SQL Injection Vulnerability

Felfedezés dátuma

2011.07.17.

Súlyosság

Közepes

Érintett rendszerek

Auction Site Script
BlueSoft
Classifieds Site Script
Real Estate Listing CMS

Érintett verziók

BlueSoft Real Estate Listing CMS 2.x
BlueSoft Auction Site Script
BlueSoft Classifieds Site Script

Összefoglaló

BlueSoft termékek olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak SQL befecskendezéses (SQL injection) támadások kezdeményezésére.

Leírás

  1. BlueSoft Real Estate Listing CMS
    Az search.php-nek a “realtor” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák.
    A sérülékenység a 2.0 verzióban vált ismertté, de más kiadások is érintettek lehetnek.
  2. BlueSoft Auction Site Script
    Az item.php-nek a “id” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák.
  3. BlueSoft Classifieds Site Script
    Az search.php-nek a “c” paraméterrel átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák.

Mindhárom sérülékenység kihasználható az SQL lekérdezések módosítására tetszőleges kód
befecskendezésével.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében