Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Xoops Articles Module id Parameter : Injection SQL

28/03/2007 13H12
Référence Secunia : SA24672 
Date de publication : 2007-03-28

Risque : Non Critique. Niveau 2 sur 5.
Impact : Manipulation de données, Exposition de données sensibles
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Articles 1.x (module pour Xoops)

Description :
UniquE-Key{UniquE-Cracker} a découvert une vulnérabilité dans le module Articles pour Xoops, qui pourrait être exploitée par des utilisateurs malicieux pour conduire des attaques SQL.

L'entrée passée au paramètre "id" dans print.php n'est pas correctement filtrée avant d'être utilisée dans des requêtes SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire.

L'exploitation de ce problème permet par ex. de retrouver des hashés de mots de passe, mais nécessite un accès au module.

La vulnérabilité est confirmée en version 1.02. Les versions précédentes pourraient également être affectées.


Solutions :
Mettre à jour en version 1.03.


Vulnérabilité découverte par :

UniquE-Key{UniquE-Cracker}

Référence :
http://milw0rm.com/exploits/3588




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.