superengine CMS Custom Pack “id” SQL befecskendezés sérülékenység

CH azonosító

CH-2895

Felfedezés dátuma

2010.02.15.

Súlyosság

Közepes

Érintett rendszerek

superengine
superengine CMS Custom Pack

Érintett verziók

superengine superengine CMS Custom Pack 0.x

Összefoglaló

A superengine CMS Custom Pack olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

Leírás

A superengine CMS Custom Pack olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.

Az index.php “id” paraméterének átadott bemenet (amikor a “mod” van beállítva) nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

Megoldás

Szűrje a rosszindulatú karaktereket és karakterláncokat proxy segítségével!