Érintett rendszerek
Realty Web-BaseRealty Webware
Érintett verziók
Realty Webware Realty Web-Base 1.x
Összefoglaló
A Realty Web-Base olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
Leírás
A Realty Web-Base olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
A “user” és “password” paraméterekhez rendelt bevitel az admin/admin.php-ben nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
Sikeres kihasználás esetén többek között be lehet jelentkezni adminisztrátorként érvényes jogosultság nélkül.
A sérülékenység az 1.0. verzióban található, egyéb verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 35033
Egyéb referencia: milw0rm.com