Összefoglaló
A RiotPix olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
Leírás
A RiotPix olyan sérülékenysége vált ismertté, melyet kihasználva támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
-
Az index.php “username” paraméteréhez rendelt bevitel nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
-
A read.php “forumid” paraméteréhez rendelt bevitel nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
A sérülékenységek a 0.61. verzióban találhatók, egyéb verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2009-0109 - NVD CVE-2009-0109
Egyéb referencia: milw0rm.com
SECUNIA 33395
Egyéb referencia: milw0rm.com
CVE-2009-0110 - NVD CVE-2009-0110