Összefoglaló
A MySQL Calendar sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadást indíthatnak.
Leírás
A MySQL Calendar sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadást indíthatnak.
A “username” paraméternek átadott bevitel az index.php-ben (amikor “action” “login”-ra van állítva) nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák. Ez az SQL lekérdezések manipulálására használható, tetszőleges kód befecskendezésével.
A sikeres kiaknázás lehetővé teszi a beléptető mechanizmus megkerülését.
A sérülékenységet az 1.2. verzióban ismerték el. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 33266
Egyéb referencia: milw0rm.com
CVE-2008-5737 - NVD CVE-2008-5737