Joomla! HM Community komponens script beszúrásos és SQL befecskendezéses sérülékenység

CH azonosító

CH-5867

Angol cím

Joomla! HM Community Component Script Insertion and SQL Injection Vulnerabilities

Felfedezés dátuma

2011.10.30.

Súlyosság

Közepes

Érintett rendszerek

HM Community component
Joomla

Érintett verziók

Joomla HM Community component

Összefoglaló

A Joomla! HM Community komponensének több sérülékenysége vált ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion), a támadók pedig SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.

Leírás

  1. Az index.php-nek átadott “language[]”, “university[]”, “persent[]”, “company_name[]”, “designation[]”, “music[]”, “books[]”, “movies[]”, “games[]”, “syp[]”, “ft[]” és “fa[]” paraméterek értéke nincs megfelelően megtisztítva (amikor “option” értéke “com_hmcommunity”, “view” értéke “profile” és “task” értéke “save”), mielőtt felhasználásra kerülnének. Ez kihasználható tetszőleges HTML és csript kód beszúrására, amely a felhasználó munkamenetében kerül lefuttatásra, az érintett oldallal kapcsolatosan a káros tartalom megtekintésekor.
  2. Az index.php-nek átadott “id” paraméter értéke nincs megfelelően megtisztítva (amikor “option” értéke “com_hmcommunity” és “view” értéke “fnd_home”), mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »