CH azonosító
CH-5269Angol cím
Joomla! Virtual Money Component "catid" SQL Injection VulnerabilityFelfedezés dátuma
2011.07.26.Súlyosság
KözepesÉrintett rendszerek
JoomlaVirtual Money component
Érintett verziók
Virtual Money 1.x (component for Joomla)
Összefoglaló
A Joomla Virtual Money komponensének egy sérülékenységét jelentették, amelyet kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat indíthatnak.
Leírás
Az index.php részére a “catid” paraméteren keresztül átadott bemeneti adat (amikor az “option” “com_virtualmoney”-ra, “view” “landpage”-re és a “task” “subcategory”-ra van állítva) nincs megfelelően megtisztítva mielőtt az SQL lekérdezésben kerülne felhasználásra. Ez kihasználható az SQL lekérdezések módosítására, tetszőleges SQL kód befecskendezésével.
A sérülékenységet az 1.5.0 verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)