Összefoglaló
A ShopCartDx olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat hajthatnak végre.
Leírás
A product_detail.php “pid” paraméterének átadott bemenet nincs megfelelően ellenőrizve mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
Megoldás
Szűrje a rosszindulatú karaktereket és karakterláncokat proxy segítségével!
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
CVE-2008-3346 - NVD CVE-2008-3346
SECUNIA 31156