CH azonosító
CH-7056Angol cím
WordPress Automatic Plugin "q" SQL Injection VulnerabilityFelfedezés dátuma
2012.06.17.Súlyosság
KözepesÖsszefoglaló
A WordPress Automatic bővítményének olyan sérülékenységét jelentették, amelyet a támadók kihasználva SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.
Leírás
A “q” paraméter által átadott bemeneti adatok a csv.php részére nincsenek megfelelően ellenőrizve, mielőtt egy SQL lekérdezésben felhasználásra kerülnének. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kódok befecskendezésével.
A sérülékenységeket a 2.0.3 verzióban jelentették, de korábbi kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 49573
Egyéb referencia: www.exploit-db.com