Összefoglaló
A ClipShare egy sebezhetőségét jelezték, melyet rosszindulatú személyek SQL befecskendezéses támadásra használhatnak.
Leírás
A ClipShare egy sebezhetőségét jelezték, melyet rosszindulatú személyek SQL befecskendezéses támadásra használhatnak.
Az “UID” paraméteren keresztül haladó bevitel az uprofile.php-ban nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekhez lenne használva. Ez kihasználható az SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.
Megjegyzés: Továbbá jelentették, hogy a “siteadmin/useredit.php” szkript elérésének korlátozása nem megfelelő, amelyet például a felhasználók jelszavainak változtatására lehet kihasználni.
Megoldás
Szerkessze a forráskódot a bevitel megfelelő kezelése érdekében, valamint korlátozza “siteadmin” könyvtár elérését.
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
Egyéb referencia: milw0rm.com
SECUNIA 28313