CH azonosító
CH-5760Angol cím
Joomla! eTree Component "id" and "user_id" SQL Injection VulnerabilitiesFelfedezés dátuma
2011.10.13.Súlyosság
KözepesÖsszefoglaló
Az eTree Joomla! komponens olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat tudnak végrehajtani.
Leírás
Az „id” és „user_id” paramétereen keresztül az index.php részére átadott bemeneti adat (amikor az „option” beállítása „com_directorytree”, a „view” beállítása „displays” és a „layout” beállítása „user”) nincsen megfelelően tisztázva az SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.
A sérülékenységet az 1.5.0-ás verzióban jelentették, egyéb verziók is érintettek lehetnek.