Érintett rendszerek
InstantPhp Jobs componentJoomla
Érintett verziók
InstantPhp Jobs 1.x (component for Joomla)
Összefoglaló
A Joomla InstantPhp Jobs komponensének egy olyan sérülékenységét jelentették, amelyet a támadók kihasználva SQL befecskendezéses támadásokat indíthatnak.
Leírás
A “detailed_results” segítségével az index.php-nek átadott paraméter (amikor az “option” beállítás “com_jobs”-ra, a “task” beállítás “search_jobs”-ra és a “search-word” egy érvényes értékre van állítva) egy SQL lekérdezés során nincs megfelelően ellenőrizve használat előtt. Ezt kihasználva, az SQL lekérdezések manipulálhatóak egy tetszőleges SQL kód befecskendezésével.
A sérülékenységet az 1.3.2 verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Frissítsen az 1.3.3 verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.instantphp.com
SECUNIA 40559