Papoo Intranet System - Multiples SQL injection

Rejoignez-nous sur #zone-h @ irc.eu.freenode.net

RECHERCHE

Menu principal

Accueil
Nouvelles de Zone-H
Nouvelles du monde
Avis de sécurité
Téléchargements
Zone-H works
Attaques numériques
Attaques Francophones
Archive des attaques
Archive des attaques

Notifier defacements
Restez à l'écoute
Inscription Listes de diffusion
Zone publique active
T'chat IRC
Contact
Performances du Staff
Le Staff de Zone-H

AVIS DE SECURITE

Papoo Intranet System - Multiples SQL injection

Avis de sécurité ZHFR-1045

Date de publication: 28/02/2006

Auteur: r0t
Vulnérabilité: Injection SQL
Impacts:
* Contournement de sécurité
* Manipulation de données
D'où: A distance
Risque:

Moyen
Solution: Mise à jour
SE: Tous
Produit: Papoo Intranet System
Versions affectées:

Détails:
r0t a identifié une vulnérabilité dans Papoo Intranet System. Celle-ci pourrait être exploitée par des personnes malicieuses afin d'effectuer des attaques de type injection SQL.

Les entrées passées au paramètre "menuid" dans les fichier "index.php","guestbook.php" et aux paramètres "forumid" "reporeid_print" dans le fichier "print.php" ne sont pas correctement filtrées avant d'être utilisées dans une requête SQL. Cela peut être exploité afin de manipuler les requêtes SQL en injectant du code SQL arbitraire.

Cette vulnérabilité a été confirmée dans la version 2.1.2. D'autres versions peuvent être affectées.

Solution:
Pas de correctif.

Editer le code source afin de filtrer les entrées.

Références:
http://pridels.blogspot.com/2005/12/papoo-multiple-sql-vuln.html Avis Original

En parler sur le forum...
S'inscrire à la liste de diffusion...

Le contenu de ce site est sous Contrat Public Creative Commons.