ShopCartDx “pid” SQL befecskendezéses sérülékenység

CH azonosító

CH-1414

Felfedezés dátuma

2008.07.21.

Súlyosság

Közepes

Érintett rendszerek

E-topbiz
ShopCartDx

Érintett verziók

E-topbiz ShopCartDx 4.x

Összefoglaló

A ShopCartDx olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat hajthatnak végre.

Leírás

A product_detail.php “pid” paraméterének átadott bemenet nincs megfelelően ellenőrizve mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

Megoldás

Szűrje a rosszindulatú karaktereket és karakterláncokat proxy segítségével!