CH azonosító
CH-6237Angol cím
Joomla! HD Video Share Component "id" SQL Injection VulnerabilityFelfedezés dátuma
2012.01.12.Súlyosság
KözepesÉrintett rendszerek
HD Video Share componentJoomla
Érintett verziók
Joomla HD Video Share component 1.x
Összefoglaló
A Joomla! HD Video Share komponensének sérülékenysége vált ismertté, amelyet kihasználva a támadók SQL befecskendezéses támadásokat hajthatnak végre.
Leírás
Az index.php-nek az “id” paraméterben átadott bemeneti adat (amikor “option” értéke “com_contushdvideoshare” és “view” értéke “player”) nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
A sérülékenységet az 1.3. verzióban igazolták. Más kiadások is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: packetstormsecurity.org
SECUNIA 47546