Érintett rendszerek
OTRSOpen Ticket Request System
Érintett verziók
OTRS Open Ticket Request System 2.1.1 - 2.1.8, 2.2.1 - 2.2.8, 2.3.1 - 2.3.4, 2.4.1 - 2.4.6
Összefoglaló
Néhány sérülékenységet jelentettek az OTRS (Open Ticket Request System) szoftverben, amelyet a rosszindulatú felhasználók kihasználhatnak SQL befecskendezéses támadások végrehajtásához.
Leírás
Néhány sérülékenységet jelentettek az OTRS (Open Ticket Request System) szoftverben, amelyet a rosszindulatú felhasználók kihasználhatnak SQL befecskendezéses támadások végrehajtásához.
Egy beazonosítatlan bemenet nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
A sikeres kihasználás lehetővé teszi az adatbázis olvasását és írását, valamint emelt szintű jogosultságok megszerzését. A kihasználáshoz agent vagy customer jogosultság szükséges.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: otrs.org
SECUNIA 38507
CVE-2010-0438 - NVD CVE-2010-0438