Zone-H Advertisement
Home arrow Avisos de Segurança arrow JobSite Professional "id" Injeção de SQL
04 de setembro de 2010
  
 
Ataques desta semana
O.S.  Defs.  %
Linux  9976  73.09%
Win 2003  3249  23.81%
FreeBSD  227  1.66%
Win 2000  66  0.48%
Unknown  48  0.35%
Other  82  0.60%

Total de ataques: 13648 dos quais 2757 único(s) no ip e 10891 invasão(ões) em massa

Menu Principal
Home
Guerra Digital
Geopolítica
Notícias ITsec
Avisos de Segurança
Test Drive
360°
Sites atacados
Eventos do Zone-H
Fórum
Publicações
Zone-H Amigos/Parceiros
Contate-nos
Sobre este Site
Membros do Zone-H BR
Favoritos geral
Zone-H.org
Área de download
JobSite Professional "id" Injeção de SQL Imprimir E-mail
Avaliação do Usuário: / 0
PiorMelhor 
Por Marcelo Almeida (Vympel)   
30 de outubro de 2007
ZynbER reportou uma falha de segurança no JobSite Professional, a qual pode ser explorada poro usuários maliciosos para conduzir um ataque de injeção de SQL.
O parâmetro de entrada "id" no arquivo file.php não é corretamente executado e pode ser explorada para executar queries SQL.
A exploração com sucesso desta falha pode adquirir os hashes das senhas dos administradores por exemplo...

A falha foi confirmada na versão 2.0. Talvez outras versões sejam vulneráveis.

Solução:
Edite o código fonte para certificar-se que a querie é corretamente executada.

Informada/descoberto por:
ZynbER

Aviso original:
http://milw0rm.com/exploits/4576

 
< Anterior   Próximo >
[Voltar]
 
Top!
(C) 2010 Zone-H - Unrestricted Information
Top!