Összefoglaló
Az NKInFoWeb olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
Leírás
Az NKInFoWeb olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
Az loadorder.php “id_sp” paraméterének átadott bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
A sérülékenység a v.species 2.5. és 5.2.2.0. verzióiban található, de egyéb verziók is érintettek lehetnek.
Megoldás
Szűrje a rosszindulatú karaktereket és karakterláncokat proxy segítségével!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 39609
Egyéb referencia: www.securityfocus.com
CVE-2010-1599 - NVD CVE-2010-1599
