Joomla DT Register komponens “eventId” SQL befecskendezés

CH azonosító

CH-1406

Felfedezés dátuma

2008.07.16.

Súlyosság

Közepes

Érintett rendszerek

DT Register
Joomla

Érintett verziók

Joomla DT Register 2.x

Összefoglaló

A DT Register (Joomla komponens) olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadást hajthatnak végre.

Leírás

Az “eventId”-hoz rendelt paraméter a Joomla telepítés index.php scriptjében (ha az “option” “com_dtregister”-re és a “task” “pay_options”-ra van állítva) nincs megfelelően megtisztítva mielőtt SQL lekérdezésben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

Sikeres kihasználás esetén adminisztrátori felhasználónevek és jelszó hashek szerezhetőek meg az adatbázis tábla előtagjainak ismeretében.

A sérülékenység a 2.2.3-as verzióban található, egyéb verziók is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
CVE-2025-6543 – Citrix NetScaler sérülékenysége
CVE-2014-4078 – Microsoft Exchange szerver sérülékenység
CVE-2025-6170 – Red Hat sebezhetősége
CVE-2025-6021 – Red Hat sebezhetősége
CVE-2025-49796 – Red Hat sebezhetősége
CVE-2025-5777 – Citrix NetScaler sebezhetősége
CVE-2025-49825 – Teleport sebezhetősége
Tovább a sérülékenységekhez »