Összefoglaló
A WEB//NEWS olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
Leírás
A WEB//NEWS olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
A “catid” paraméterhez rendelt bevitel keresésnél nincs megfelelően megtisztítva mielőtt SQL lekérdezésben használnák a parse/module_search.php-ben. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
A sérülékenység az 1.4. verzióban található, más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)