Social Network Community “userId” SQL befecskendezéses sérülékenység

CH azonosító

CH-6118

Angol cím

Social Network Community "userId" SQL Injection Vulnerability

Felfedezés dátuma

2011.12.18.

Súlyosság

Közepes

Érintett rendszerek

N/A
Social Network Community

Érintett verziók

Social Network Community 2.x

Összefoglaló

A Social Network Community sérülékenysége vált ismertté, amelyet kihasználva a támadók SQL befecskendezéses támadásokat hajthatnak végre.

Leírás

A user.php-nek a “userId” paraméterben átadott bemeneti érték nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

Megoldás

Rosszindulatú karakterláncok szűrése proxy segítségével