Összefoglaló
Az ITechBids olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
Leírás
Az ITechBids olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
A feedback.php “user_id” paraméteréhez, a category.php “cate_id” paraméteréhez, a news.php “id” paraméteréhez, és a itechd.php “productid” paraméteréhez rendelt bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
Egyéb scriptek is érintettek lehetnek.
A sérülékenységek a 8.0. verzióban találhatók, de más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzésének érdekében!
Szűrje a kártékony karaktereket és karaktersorozatokat egy proxyval!
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 36437
Egyéb referencia: milw0rm.com