WebPortal CMS “aid” paraméter SQL befecskendezéses sérülékenysége

CH azonosító

CH-1573

Felfedezés dátuma

2008.09.17.

Súlyosság

Közepes

Érintett rendszerek

WebPortal CMS
Webportal

Érintett verziók

Webportal WebPortal CMS 0.7.x

Összefoglaló

A WebPortal CMS egy olyan sérülékenységét fedezték fel, melyet a támadók kihasználhatnak SQL befecskendezéses támadások lefolytatására.

Leírás

A download.php “aid” paraméterének átadott bemenet nincs megfelelően ellenőrizve,
mielőtt SQL lekérdezésekben használnák. Ezt kihasználva támadók megváltoztathatják a lekérdezéseket tetszőleges SQL kód befecskendezésével.

Ezt a sérülékenységet a 0.7.4 verzióban bizonyították. Más verziók is lehetnek érintettek.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében