Chavoosh CMS “Cat_id” SQL befecskendezés sérülékenység

CH azonosító

CH-2410

Felfedezés dátuma

2009.08.12.

Súlyosság

Közepes

Érintett rendszerek

Chavoosh
Chavoosh CMS

Érintett verziók

Chavoosh Chavoosh CMS

Összefoglaló

A Chavoosh CMS olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

Leírás

A Chavoosh CMS olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

A “Cat_id” paraméterrel a ContentArchive.aspx-hez rendelt bevitel nincs megfelelően tisztázva az SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében