Összefoglaló
Egy sérülékenységet jelentettek a PHP Dir Submit szoftverben, amelyet kihasználva, rosszindulatú támadók SQL befecskendezéses támadásokat hajthatnak végre.
Leírás
Egy sérülékenységet jelentettek a PHP Dir Submit szoftverben, amelyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat hajthatnak végre.
A felhasználónévvel és jelszóval átadott bemenet az adminisztrátor panelre való bejelentkezéskor nincs megfelelően ellenőrizve mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
Megoldás
Korlátozza az adminisztrátor panelhez való hozzáférést (pl. “.htaccess” segítségével)!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
SECUNIA 35125
CVE-2009-1787 - NVD CVE-2009-1787