Joomla! Appointinator komponens “aid” SQL befecskendezés sérülékenység

CH azonosító

CH-3392

Felfedezés dátuma

2010.07.27.

Súlyosság

Alacsony

Érintett rendszerek

Appointinator component
Joomla

Érintett verziók

Joomla Appointinator component 1.x

Összefoglaló

A Joomla Appointinator komponens olyan sérülékenysége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak SQL befecskendezéses támadások kezdeményezésére.

Leírás

Az index.php részére az “aid” paraméteren keresztül átadott bemenet (amikor az “option” értéke “com_appointinator”-re és a “view” értéke “App”) nincs megfelelően ellenőrizve mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

A sérülékenységet az 1.0.1. verzióban fedezték fel. Más verziók is érintettek lehetnek.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében