Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

PHP Classifieds user_id : Vulnérabilité d'Injection SQL

08/11/2006 10H19
Référence Secunia : SA22704
Date de publication : 2006-11-08

Risque : Moyennement critique. Niveau 3 sur 5.

Impact : Manipulation de données
Lieu : A distance

Solutions :
Non corrigée

Produit :
PHP Classifieds 7.x

Description :
ajann a découvert une vulnérabilité dans PHP Classifieds, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques SQL.

L'entrée passée au paramètre "user_id" dans detail.php n'est pas correctement filtrée avant d'être utilisée dans une requête SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire.

La vulnérabilité est confirmée en version 7.1b. Les autres versions pourraient également être affectées.

Solutions :
Editez le code source pour s'assurer que l'entrée est correctement filtrée.

Vulnérabilité découverte par :

ajann

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20081008 PHP Realtor v cat Vulnérabilité d'Injection SQL 3

20081008 PHP Autos catid Vulnérabilité d'Injection SQL 3

20081008 PHP Auto Dealer v cat Vulnérabilité d'Injection SQL 3

20081007 Debian mise à jour pour PHP 3

20081006 PHP Fusion Recepies Module kat id Injection SQL 3

20081005 PHP infoBoard Injection SQL et Insertion de Script 3

20081001 PHP iCalendar Contournement de la Sécurité 3

20080930 PHP Lance catid Vulnérabilité d'Injection SQL 3

20080924 PHP Pro Bid Vulnérabilités d'Injection SQL 3

20080903 PHP Coupon Script id Vulnérabilité d'Injection SQL 3

20080821 PHP Live Helper Vulnérabilités Diverses

20080813 PHP Realty docID Vulnérabilité d'Injection SQL

20080812 PHP Vulnérabilités Diverses

20080731 PHP Hosting Directory adm Contournement de la Sécurité

20080724 PHP Classifieds catid et catid search Vulnérabilité d'Injection SQL

20080719 PHP Nuke eid Vulnérabilité d'Injection SQL

20080716 php Help Agent content Vulnérabilité d'Inclusion de Fichier

20080715 Fedora mise à jour pour php pecl apc

20080708 PHP Nuke 4ndvddb Module id Vulnérabilité d'Injection SQL

20080702 PHP Agenda page Inclusion de Fichier Local

20080616 PHP JOBWEBSITE PRO JobSearch3 php Injection SQL

20080610 PHP Image Gallery action Vulnérabilité Cross Site Scripting

20080520 PHP Fusion Forum Rank System Inclusion de Fichier Local

20080421 PHP Fusion submit info Vulnérabilité d'Injection SQL

20080327 Fedora mise à jour pour php pear PhpDocumentor

20080311 PHP Nuke Hadith Module cat Injection SQL

20080307 PHP Nuke Kutub i Sitte Module kid Injection SQL

20080225 php Download Manager content Vulnérabilité d'Inclusion de Fichier

20080131 PHP Links id Vulnérabilité d'Injection SQL

20080124 PHP Nuke modules Search index php Injection SQL

20080117 php residence cognome cerca Vulnérabilité d'Injection SQL

20080103 PHP Vulnérabilités Diverses

20071129 PHP CON webappcfg APPPATH Inclusion de Fichiers

20071112 PHP Vulnérabilités Diverses

20071030 PHP AGTC membership system adduser php Contournement de la Sécurité

20071025 rPath mise à jour pour php php mysql et php pgsql

20071024 php basic basicFramework root Vulnérabilité d'Inclusion de Fichier

20071024 PHP Project Management Vulnérabilités d'Inclusion de Fichiers

20071016 PHP File Sharing System cam Traversée de Répertoire

20071009 PHP Homepage M id Vulnérabilité d'Injection SQL

20070926 PHP Nuke Dance Music Module Inclusion de Fichier Local

20070831 PHP Vulnérabilités Diverses

20070813 Php Stats IP Cross Site Scripting

20070813 Php Blue Dragon CMS activecontent php Inclusion de Fichiers

20070730 PHP Blogger pref db Faille de Sécurité

20070716 PHP glob Vulnérabilité d'Exécution de Code

20070703 PHP Director id Vulnérabilité d'Injection SQL

20070702 PHP Fusion FUSION QUERY Vulnérabilité Cross Site Scripting

20070621 PHP Tidy Extension tidy parse string Buffer Overflow

20070619 PHP Hosting Biller order php Vulnérabilité Cross Site Scripting

20070613 PHP Real Estate Classifieds loc Inclusion de Fichiers

20070522 PHP gdPngReadData Truncated PNG Data Déni de Service

20070516 PHP SOAP Extension HTTP Authentication Weak Nonce

20070507 PHP TopTree BBS right file Vulnérabilité d'Inclusion de Fichier

20070504 PHP Vulnérabilités Diverses

20070504 PHP Coupon Script bus Injection SQL

20070420 PHP Nuke SQL Filter Bypass et Vulnérabilités d'Injection SQL

20070419 rPath mise à jour pour php php mysql et php pgsql

20070418 PHP Nuke vWar Module Injection SQL et Cross Site Scripting

20070410 PHP readwbmp Dépassement d'Entier

20070409 PHP FILTER VALIDATE EMAIL Filter Newline Injection

20070402 PHP Nuke Addressbook Module module name Inclusion de Fichier Local

20070402 PHP Fusion Expanded Calendar Module m month Injection SQL

20070328 PHP Nuke Anti Cross Site Request Forgery Routine Bypass Vulnérabilité

20070323 PHP unserialize S Data Type Information Leak

20070320 SQL Ledger Vulnérabilité d'Exécution de Code

20070316 PHP array user key compare Double DTOR Vulnérabilité

20070316 PHP Interbase Extension isc attach database Buffer Overflow

20070312 SQL Ledger admin pl Contournement de l'Authentification

20070312 PHP Nuke lang Vulnérabilité d'Inclusion de Fichier Local

20070228 rPath mise à jour pour php php mysql et php pgsql

20070221 PHP Nuke HTTP referer Vulnérabilité d'Injection SQL

20070209 PHP Vulnérabilités Diverses

20061228 PHP iCalendar Vulnérabilités Cross Site Scripting

20061228 PHP Update Vulnérabilités Diverses

20061226 PHP Live! Vulnérabilités Cross Site Scripting

20061218 SQL Ledger Perl Vulnérabilité d'Exécution de Code

20061204 PHP Upload Center footerpage et language Inclusion de Fichiers

20061128 PHP Nuke modules News index php Vulnérabilités d'Injection SQL

20061118 PHP Upload Tool Upload de Fichier And Traversée de Répertoire

20061108 PHP Classifieds user id Vulnérabilité d'Injection SQL

20061101 PHP Nuke forwhat Vulnérabilité d'Injection SQL

20061018 Php AMX plug path Vulnérabilité d'Inclusion de Fichier

20061013 PHP News Reader CFG Inclusion de Fichiers

20061012 PHP News Reader CFG Inclusion de Fichiers

20061009 PHP Classifieds catid et catid search Vulnérabilité d'Injection SQL

20061005 PHP ecalloc Dépassement d'Entier

20061004 PHP open basedir Symlink Contournement de la Sécurité

20060927 PHP Invoice home php Vulnérabilités Cross Site Scripting

20060921 Php Blue Dragon CMS Vulnérabilités Diverses

20060919 PHP Post Vulnérabilités Diverses

20060913 PHP Event Calendar Add Event Vulnérabilités d'Insertion de Script

20060912 SQL Ledger terminal Parameter Perl Exécution de Code

20060908 PHP Fusion maincore php Vulnérabilité d'Injection SQL

20060907 php download script file Parameter Traversée de Répertoire

20060904 PHP Nuke MyHeadlines Module myh op Cross Site Scripting

20060808 PHP sscanf Exécution de Code Safe Mode Bypass

20060807 PHP Simple Shop abs path Vulnérabilité d'Inclusion de Fichier

20060803 PHP Deux Vulnérabilités Non spécifiées

20060724 PHP Live! css path Vulnérabilité d'Inclusion de Fichier

20060720 PHP Post auto login Contournement de la Sécurité

20060718 PHP Event Calendar path to calendar Inclusion de Fichiers

20060710 PHP Blogger Vulnérabilités d'Insertion de Script

20060704 PHP Fusion Image Vulnérabilité d'Insertion de Script

20060629 PHP iCalendar cal Vulnérabilité Cross Site Scripting

20060626 PHP error log Safe Mode Bypass Faille

20060605 PHP Pro Publish catname Parameter Cross Site Scripting

20060605 PHP ManualMaker Vulnérabilités Cross Site Scripting

20060530 PHP curl init Safe Mode Bypass Faille

20060529 php residence Vulnérabilités d'Insertion de Script

20060529 PHP AGTC membership system useremail Insertion de Script

20060517 PHP Fusion srch where Injection SQL Vulnerablility

20060515 Php Blue Dragon CMS vsDragonRootPath Inclusion de Fichiers

20060509 PHP Fusion Vulnérabilités Diverses

20060508 PHP Arena paCheckbook Vulnérabilités d'Injection SQL

20060504 PHP Vulnérabilités Non spécifiées

20060503 PHP Linkliste linkliste php Vulnérabilité d'Insertion de Script

20060501 PHP Pro Publish Vulnérabilités d'Injection SQL

20060501 PHP Newsfeed Vulnérabilités d'Injection SQL

20060428 PHP Gastebuch Kommentar Vulnérabilité d'Insertion de Script

20060425 PHP wordwrap Vulnérabilité de Dépassement de Tampon

20060419 PHP Net Tools host Vulnérabilité d'Injection de Commande Shell

20060418 PHP Album data dir Vulnérabilité d'Inclusion de Fichier

20060410 PHP phpinfo Cross Site Scripting and Contournement de la Sécurité

20060329 PHP html entity decode Divulgation d'Informations Vulnérabilité

20060329 PHP Script Index search Vulnérabilité Cross Site Scripting

20060329 PHP Classifieds searchword Vulnérabilité Cross Site Scripting

20060328 PHP Live Helper abs path Vulnérabilité d'Inclusion de Fichier

20060327 PHP Ticket frm search in Vulnérabilité d'Injection SQL

20060323 PHP Live! base url Vulnérabilité Cross Site Scripting

20060321 PHP iCalendar Inclusion de Fichiers and Calendar Upload Vulnérabilités

20060310 PHP SimpleNEWS admin Contournement de l'Authentification

20060306 Php Stats Vulnérabilités Diverses et Faille de Sécurité

20060303 PHP Upload Center File Extensions Script Upload Vulnérabilité

20060228 PHP mb send mail et IMAP Functions Contournement de la Sécurité

20060222 PHP Nuke Personal Menu Insertion de Script et Injection SQL

20060221 PHP Fusion Vulnérabilités Cross Site Scripting

20060220 PHP Nuke CAPTCHA Bypass

20060217 PHP Nuke Your Account Module Vulnérabilité d'Injection SQL

20060215 PHP Classifieds member login php Injection SQL

20060213 PHP Nuke pagetitle Vulnérabilité Cross Site Scripting

20060213 PHP MYSQL Timesheet Vulnérabilités d'Injection SQL

20060210 PHP Event Calendar User Information Manipulation

20060209 PHP iCalendar Vulnérabilités d'Inclusion de Fichiers

20060206 PHP Link Directory ADBdb and PHPMailer

20060203 PHP GEN Cross Site Scripting et Injection SQL

20060130 PHP Ping count Vulnérabilité de Déni de Service

20060113 PHP Vulnérabilités Diverses

20060113 PHP Toolkit for PayPal Payment Bypass and Exposure of Transactions

20060110 PHP Nuke News Story Text Vulnérabilité d'Insertion de Script

20060105 PHP mysql connect Vulnérabilité de Dépassement de Tampon

20051223 PHP Fusion Vulnérabilités Diverses

20051215 PHP Support Tickets Vulnérabilités d'Injection SQL

20051214 PHP JackKnife Gallery System sKeywords Cross Site Scripting

20051206 PHP addressbook view php Vulnérabilité d'Injection SQL

20051129 PHP Web Statistik Vulnérabilités Diverses et Faille de Sécurité

20051128 PHP Injection d'Entete

20051128 PHP Doc System Vulnérabilité d'Inclusion de Fichier Local

20051123 PHP Post Cross Site Scripting et Vulnérabilités d'Insertion de Script

20051123 PHP Labs Top Auction Vulnérabilités d'Injection SQL

20051123 PHP Labs Survey Wizard Vulnérabilité d'Injection SQL

20051121 PHP Fusion Vulnérabilités d'Injection SQL

20051116 PHP Nuke Vulnérabilité d'Injection SQL

20051116 PHP GEN Vulnérabilités Cross Site Scripting

20051103 PHP Handicapper Vulnérabilités Diverses

20051027 PHP Nuke Search Enhanced Cross Site Scripting

20051026 PHP iCalendar phpicalendar Vulnérabilité d'Inclusion de Fichier

20051026 PHP iCalendar Exécution de Code à Distance et CSS

20051025 PHP Nuke Vulnérabilités d'Injection SQL

20051025 PHP Fusion Vulnérabilité d'Insertion de Script

20051020 PHP Nuke Addon NukeFixes Vulnérabilité d'Inclusion de Fichier Local

20051011 PHP Advanced Transfer Manager Vulnérabilité d'Envoi de Fichiers HTML

20051011 PHP Advanced Transfer Manager HTML Upload et Credentials Exposure

20051006 PHP Fusion Vulnérabilités d'Injection SQL

20051006 PHP Fusion Deux Vulnérabilités d'Injection SQL

20051004 PHP Fusion album et photo Vulnérabilités d'Injection SQL

20051004 PHP Fusion Vulnérabilités d'Injection SQL

20050929 PHP Fusion msg send Vulnérabilité d'Injection SQL

20050927 PHP Trailing Slash open basedir Contournement de la Sécurité

20050920 PHP Advanced Transfer Manager Vulnérabilités Diverses

20050916 PHP Nuke Vulnérabilités

20050916 PHP Nuke Vulnérabilités Diverses

20050913 PHP Nuke Vulnérabilités d'Injection SQL

20050830 PHP Fusion Nested BBcode url Vulnérabilité d'Insertion de Script

20050823 Mandriva mise à jour pour php pear

20050812 PHP Designer 2005 Faiblesse d'Affichage de Caractere NULL

20050722 PHP TopSites Contournement de l'Authentification Faille de Sécurité

20050720 PHP Surveyor Vulnérabilités d'Injection SQL

20050720 PHP Fusion Deux Vulnérabilités

20050627 PHP Nuke off site Avatar Vulnérabilité d'Insertion de Script

20050526 PHP Poll Creator relativer pfad Vulnérabilité d'Inclusion de Fichier

20050520 PHP Advanced Transfer Manager include location Inclusion de Fichiers

20050509 PHP Advanced Transfer Manager Vulnérabilité d'Upload de Fichier

20050505 PHP Nuke phpbb root path Arbitrary Inclusion de Fichiers

20050427 PHP Calendar Vulnérabilité d'Injection SQL

20050420 PHP Labs proFile dir et file Cross Site Scripting

20050418 PHP Nuke forwarder Parameter HTTP Response Splitting

20050401 PHP Vulnérabilités Diverses

20050328 PHP Nuke Nuke Bookmarks Cross Site Scripting et Injection SQL

20050323 PHP Fusion new login Vulnérabilité Cross Site Scripting

20050308 PHP Fusion HTML Encoded BBcode Vulnérabilité d'Insertion de Script

20050304 PHP Nuke Pabox Module Vulnérabilité d'Insertion de Script

20050301 PHP readfile Déni de Service

20050215 PHP Nuke Vulnérabilités Cross Site Scripting

20050202 PHP Fusion Forums Divulgation d'Informations et Insertion de Script

20050117 PHP Gift Registry Vulnérabilités d'Injection SQL

20050113 PHP Nuke Sgallery Module Inclusion de Fichiers et Injection SQL

20041224 PHP Blogger Exposition de Données Sensibles Faille de Sécurité

20041220 PHP Nuke Workboard Module Cross Site Scripting

20041213 PHP Live! Vulnérabilité Non Spécifiée

20041210 PHP Gift Registry message Vulnérabilités Cross Site Scripting

20041117 PHP Nuke Event Calendar Module Vulnérabilités Diverses

20041029 PHP CURL open basedir Contournement de la Sécurité

20040930 PHP Fusion Injection SQL et Vulnérabilités d'Insertion de Script

20040927 PHP Fusion homepage address Vulnérabilité d'Insertion de Script

20040927 PHP Fusion Cross Site Scripting et Identify Spoof Vulnérabilités

20040918 PHP Memory Leak et Arbitrary File Location Upload Vulnérabilités

20040825 PHP Code Snippet Library Vulnérabilité Cross Site Scripting

20040820 PHP Fusion Public Accessible Database Backups

20040811 PHP Nuke Search Box Vulnérabilités Cross Site Scripting

20040714 PHP strip tags Function et memory limit Vulnérabilités

20040624 php exec dir Exécution de Commande Bypass Vulnérabilité

20040607 PHP escapeshellcmd et escapeshellarg Contournement de la Sécurité

20040604 PHP Nuke Direct Script Access Restriction Bypass Faille

20040518 PHP Nuke Vulnérabilités Diverses

20040413 PHP Nuke Injection SQL et Cross Site Scripting

20040324 PHP Nuke Vulnérabilités d'Insertion de Script

20040316 PHP Nuke Cross Site Scripting Vulnérabilités

20040211 PHP Nuke Vulnérabilités d'Injection SQL

20040210 PHP Nuke Cross Site Scripting et Injection SQL

20040209 PHP Configuration Leakage Vulnérabilité

20031230 PHP Ping count Parameter Exécution de Commandes Arbitraires

20031229 PHP mod php File Descriptor Leakage Vulnérabilité

20031229 PHP Nuke pollID Parameter Vulnérabilité d'Injection SQL

20031118 PHP Web FileManager Vulnérabilité de Traversée de Répertoires

20031113 PHP CoolFile Logic Error Vulnérabilité

20031021 PHP Nuke Path Disclosure Vulnérabilité

20031013 PHP Nuke Vulnérabilité d'Injection SQL

20031007 PHP Nuke Upload et execution de code arbitraire

20031006 PHP Prayer Board Cross Site Scripting et Injection SQL

20030711 SQL Server Named Pipe Vulnérabilité d'Elévation de Privilèges

20030605 PHP Session ID Cross Site Scripting

20030530 PHP Multiple Problemes

20030520 php proxima name Parameter Vulnérabilités d'Inclusion de Fichiers Locaux

20030519 PHP Nuke SQL injection

20030425 PHP Nuke Cross Site Scripting

20030401 PHP Nuke Cross Site Scripting

20030327 PHP Web Chat Cross Site Scripting

20030326 PHP socket iovec alloc Déni de Service

20030326 PHP Nuke Injection SQL

20030319 PHP Nuke Referer Cross Site Scripting

20030318 PHP Nuke Path Disclosure

20030307 PHP Ping Exécution de Commandes Arbitraires

20030218 PHP execution de code arbitraire

20030217 php Forum revelation informations utilisateur

20030204 PHP Nuke Avatar Scriptcode Injection

20030122 PHP My Pub admin access

20021230 php wordwrap heap overflow

20021223 PHP Nuke mail CRLF injection

20021217 PHP Nuke execution de code arbitraire

20021101 PHP Nuke SQL injection resets passwords

20021010 PHP Nuke Cross Site Scripting

Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés

formation sécurité informatiqe