XOOPS Prayer List “cid” modul SQL befecskendezéses sérülékenysége

CH azonosító

CH-1022

Felfedezés dátuma

2008.02.23.

Súlyosság

Közepes

Érintett rendszerek

Prayer list
XOOPS

Érintett verziók

XOOPS Prayer list 1.x

Összefoglaló

Az XOOPShoz használatos Prayer List modul olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók SQL befecskendezéses támadást hajthatnak végre.

Leírás

Az index.php-ben (ha a “ph” beállítása “view”) nincs megfelelően kezelve a “cid” paraméterhez rendelt bemenet az SQL lekérdezéshez történő használat előtt, így a lekérdezés tetszőleges kód beszúrásával módosítható.
Sikeres kihasználás és az adatbázis tábla előtagjának ismerete esetén elérhetőek többek között adminisztrátori felhasználónév és jelszó hashek.

A sérülékenységet az 1.04. verzióban azonosították, de más verziók is érintettek lehetnek.

Megoldás

Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekében

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
Tovább a sérülékenységekhez »