|
|
SECURINFOS.INFO - Veille en sécurité informatique
Article Friendly : Deux Vulnérabilités d'Injection SQL
31/07/2008 09H35
Référence Secunia : SA31292
Date de publication : 2008-07-31
Risque : Moyennement Critique. Niveau 3 sur 5. 
Impact : Manipulation de données
Lieu : A distance
Solutions :
Non corrigée
Produit :
Article Friendly
Description :
Mr.SQL a rapporté deux vulnérabilités dans Article Friendly, qui pourraient être exploitées par des personnes malintentionnées pour conduire des attaques SQL.
L'entrée passée au paramètre "autid" dans authordetail.php et au "Cat" dans categorydetail.php n'est pas correctement filtrée avant d'être utilisée dans des requêtes SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire.
L'exploitation de ce problème est possible seulement si "magic_quotes_gpc" est désactivé.
Solutions :
Filtrer les caractères et séquences de caractères malicieux dans un proxy.
Vulnérabilité découverte par :
Mr.SQL
Référence :
http://milw0rm.com/exploits/6167
Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
|
SECURINFOS