Joomla! cross-site scripting és SQL befecskendezéses sérülékenységek

CH azonosító

CH-6491

Angol cím

Joomla! Cross-Site Scripting and SQL Injection Vulnerabilities

Felfedezés dátuma

2012.03.06.

Súlyosság

Közepes

Érintett rendszerek

Joomla
Joomla!

Érintett verziók

Joomla! 2.x

Összefoglaló

A Joomla! két olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (XSS/CSS) és SQL befecskendezéses (SQL injection) támadásokat tudnak végrehajtani.

Leírás

  1. A Highlight plugin részére átadott egyes bemeneti adatok nincsenek megfelelően tisztázva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  2. A Redirect plugin részére átadott egyes bemeneti adatok nincsenek megfelelően tisztázva az SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.

A sérülékenységeket a 2.5.0 és a 2.5.1 verziókban jelentették, megelőző verziók is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra