Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

All In One Control Panel download_category : Injection SQL

12/01/2007 11H44
Référence Secunia : SA23726 
Date de publication : 2007-01-12

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Manipulation de données
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
All In One Control Panel 1.x

Description :
Une vulnérabilité a été rapportée dans All In One Control Panel (AIOCP), qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques SQL.

L'entrée passée au paramètre "download_category" dans shared/code/cp_functions_downloads.php n'est pas correctement filtrée avant d'être utilisée dans des requêtes SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire.

La vulnérabilité est rapportée en versions inférieures à 1.3.009.


Solutions :
Mettre à jour en version 1.3.009.


Vulnérabilité découverte par :

Rapportée par l'éditeur.

Référence :
http://sourceforge.net/project/shownotes.php?release_id=477845




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.