Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com

Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

SQL Injection in Invision Power Board  
04/28/2006

 
E' stata riscontrata una vulnerabilitÓ in Invision Power Board, la quale potrebbe essere sfruttata da un utente remoto per eseguire attacchi SQL injection.

La falla Ŕ dovuta al fatto che l'input passato al parametro cookie 'from_contact' al momento di postare un messaggio ad un altro utente, non Ŕ validato correttamente prima di essere utilizzato in una query SQL. Ci˛ potrebbe permettere ad un utente malevolo di manipolare le query attraverso il passaggio di codice SQL nel suddetto parametro.

L'exploitazione della falla richiede che l'attaccante abbia un account utente valido.

La vulnerabilitÓ Ŕ stata riscontrata nella versione 2.1.4. Altre versioni potrebbero essere affette dal problema.

 

Soluzione:
Nessuna patch disponibile al momento;
Editare il codice sorgente in modo da validare correttamente l'input.

Riferimenti:
http://secunia.com/advisories/19861/
 

   

Home Page