CH azonosító
CH-5465Angol cím
WordPress MM Forms Community Parameter Key SQL Injection VulnerabilityFelfedezés dátuma
2011.08.28.Súlyosság
KözepesÉrintett rendszerek
MM Forms Community pluginWordPress
Érintett verziók
WordPress MM Forms Community plugin 1.x
Összefoglaló
A WordPress MM Forms Community bővítményének olyan sérülékenységét fedezték fel, melyet a támadók kihasználhatnak SQL befecskendezéses (SQL injection) támadások indítására.
Leírás
A paraméter kulcsokkal a wp-content/plugins/mm-forms-community/includes/edit_details.php részére átadott bemenet nincs megfelelően ellenőrizve, mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
A sérülékenységet az 1.2.3. verzióban igazolták. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: unconciousmind.blogspot.com
SECUNIA 45816
