CH azonosító
CH-7838Angol cím
WordPress FireStorm Professional Real Estate Plugin SQL Injection VulnerabilitiesFelfedezés dátuma
2012.10.24.Súlyosság
KözepesÉrintett rendszerek
FireStorm Professional Real Estate PluginWordPress
Érintett verziók
WordPress FireStorm Professional Real Estate Plugin 2.x
Összefoglaló
A WordPress FireStorm Professional Real Estate bővítmény egy sérülékenységét jelentették, amit kihasználva a támadók SQL befecskendezéses (SQL injection) támadást indíthatnak.
Leírás
A wp-content/plugins/fs-real-estate-plugin/search.php részére a “ProvinceID” és “CountryID” paramétereken keresztül átadott bemeneti adatok nem megfelelően vannak megtisztítva mielőtt SQL lekérdezésben felhasználásra kerülnének. Ezt kihasználva módosítani lehet az SQL lekérdezéseket tetszőleges SQL kód befecskendezésével.
A sérülékenységet a 2.05.01 verzióban jelentették, de más kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
