Összefoglaló
Két sérülékenységet jelentettek a Ping IP szoftverben, amelyet kihasználva támadók SQL befecskendezéses támadásokat indíthatnak.
Leírás
Két sérülékenységet jelentettek a Ping IP szoftverben, amelyet kihasználva támadók SQL befecskendezéses támadásokat indíthatnak.
A “txtUserName” és a “txtPassword” paraméterhez tartozó érték a login.aspx-ben nincs megfelelően megtisztítva mielőtt egy SQL lekérdezésben használnák. Ezt kihasználva módosítható az SQL lekérdezés tetszőleges kód befecskendezésével.
A sikeres kihasználás lehetővé teszi a biztonsági ellenőrzések megkerülését.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
SECUNIA 33575
