Összefoglaló
A Musicbox egy olyan sérülékenységét jelentették, melyet a támadók SQL befecskendezéses támadások lefolytatására használhatnak ki.
Leírás
A Musicbox egy olyan sérülékenységét jelentették, melyet a támadók SQL befecskendezéses támadások lefolytatására használhatnak ki.
A viewalbums.php “artistId” paraméterének átadott bemenet nincs megfelelően ellenőrizve mielőtt azt az SQL lekérdezésekben felhasználnák. Ezt kihasználva tetszőleges SQL kód befecskendezésével megváltoztathatóak a lekérdezések.
A sérülékenységet a 2.3.6 és 2.3.7 verziókban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
SECUNIA 30107
CVE-2008-2125 - NVD CVE-2008-2125