CH azonosító
CH-6122Angol cím
mnoGoSearch Hostnames SQL Injection VulnerabilityFelfedezés dátuma
2011.12.18.Súlyosság
KözepesÖsszefoglaló
Az mnoGoSearch sérülékenysége vált ismertté, amelyet kihasználva a támadók SQL befecskendezéses támadásokat hajthatnak végre.
Leírás
Bizonyos, a hypertext hivatkozásokban átadott, gépnév adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
A sérülékenység sikeres kihasználásához szükséges, hogy az adatbázis lehetővé tegye több utasítás futtatását egyetlen lekérdezésben (pl. MySQL esetén a “ClientMultiStatement” opció értéke “yes”, vagy PostgreSQL).
A sérülékenység a 3.3.12. előtti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.mnogosearch.org
SECUNIA 47272