CH azonosító
CH-12677Angol cím
PHP-Fusion vulnerabilityFelfedezés dátuma
2015.10.07.Súlyosság
KözepesÉrintett rendszerek
PHP-FusionÉrintett verziók
A sebezhetőséget a PHP-Fusion v7.02.07, illetve az ennél korábbi kiadásai tartalmazzák.
Összefoglaló
A PHP-Fusion sebezhetősége adatlopásra, illetve adatmanipulációra adhat módot. A biztonsági rés egy (blind) SQL injection hibára vezethető vissza.
Leírás
A sebezhetőség az adminisztrációs felület kapcsán merült fel, és a members.php állomány tartalmazza, amely nem ellenőrzi megfelelően a status paramétert. Ennek következtében a hiba speciálisan szerkesztett URL-ekkel válhat kihasználhatóvá.
Megoldás
A status paraméter ellenőrzésének megerősítése.
Támadás típusa
Manipulation of dataSQL Injection
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: seclists.org
Egyéb referencia: isbk.hu