Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Dragon Business Directory Pro ID : Vulnérabilité d'Injection SQL

27/12/2006 12H24
Référence Secunia : SA23523
Date de publication : 2006-12-27

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Manipulation de données
Lieu : A distance

Solutions :
Non corrigée

Produit :
Dragon Business Directory Pro 3.x

Description :
ajann a rapporté une vulnérabilité dans Dragon Business Directory Pro, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques SQL.

L'entrée passée au paramètre "ID" dans bus_details.asp n'est pas correctement filtrée avant d'être utilisée dans une requête SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire.

La vulnérabilité est rapportée en version 3.01.12. Les autres versions pourraient également être affectées.

Solutions :
Editez le code source pour s'assurer que l'entrée est correctement filtrée.

Vulnérabilité découverte par :

ajann

Référence :
http://milw0rm.com/exploits/2992

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20070320 SQL Ledger Vulnérabilité d'Exécution de Code

20070312 SQL Ledger admin pl Contournement de l'Authentification

20061227 Dragon Business Directory Pro ID Vulnérabilité d'Injection SQL

20061218 SQL Ledger Perl Vulnérabilité d'Exécution de Code

20060912 SQL Ledger terminal Parameter Perl Exécution de Code

20060904 Drag And Zip Zoo Archive Processing Buffer Overflow

20060515 Directory Listing Script dir Vulnérabilité Cross Site Scripting

20050801 Business Objects Enterprise Crystal Reports Déni de Service

20050513 Direct Topics Insertion de Script et Injection SQL

20030711 SQL Server Named Pipe Vulnérabilité d'Elévation de Privilèges

formation sécurité informatiqe