Összefoglaló
A HRS Multi egy olyan sérülékenységét jelentették, melyet a támadók SQL
befecskendezéses támadások lefolytatására használhatnak ki.
Leírás
A picture_pic_bv.asp “key” paraméterének átadott bemenet nincs megfelelően
ellenőrizve, mielőtt SQL lekérdezésekben használnák.
Ez kihasználható az SQL lekérdezések megváltoztatására tetszőleges kód befecskendezésével.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-3266 - NVD CVE-2008-3266
SECUNIA 31170
Egyéb referencia: milw0rm.com