CH azonosító
CH-7893Angol cím
WordPress Hitasoft FLV Player Plugin "id" SQL Injection VulnerabilityFelfedezés dátuma
2012.11.06.Súlyosság
KözepesÉrintett rendszerek
Hitasoft FLV Player pluginWordPress
Érintett verziók
WordPress Hitasoft FLV Player Plugin 1.x
Összefoglaló
A WordPress rendszerhez használt Hitasoft FLV Player plugin sérülékenységét jelentették, amelyeket kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat indíthatnak.
Leírás
Az “id” paraméteren keresztül a wp-content/plugins/hitasoft_player/config.php részére átadott bemeneti adat nincs megfelelően ellenőrizve mielőtt azok SQL lekérdezésekben kerülnek felhasználásra. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.
A sérülékenységet az 1.1 verzióban igazolták. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: dl.packetstormsecurity.net
SECUNIA 51179