Vulnerabilità: CVE-2005-4225

Multipli ""potenziali"" vulnerabilità SQL injection in myBloggie 2.1.3 beta permettono ad un attaccante remoto di eseguire comandi SQL arbitrari via (1) il parametro categoria in add.php, (2) il parametro cat_desc in addcat.php, (3) il livello e parametri utente in adduser.php, (4) il parametro post_id in del.php, (5) il parametro cat_id in delcat.php, (6) il parametro COMMENT_ID in delcomment.php, (7) il parametro id in deluser. php, (8) il parametro post_id e categoria edit.php, (9) il cat_id e parametri cat_desc in editcat.php, e (10) l’id, livello e parametri utente in edituser.php. NOTA: il vettore username / login.php è già identificato da CVE-2005-2838.


http://www.securityfocus.com/archive/1/419280/100/0/threaded
http://www.securityfocus.com/archive/1/419487/100/0/threaded
http://glide.stanford.edu/yichen/research/sec.pdf
http://www.osvdb.org/21659
http://www.osvdb.org/21660
http://www.osvdb.org/21661
http://www.osvdb.org/21662
http://www.osvdb.org/21663
http://www.osvdb.org/21664
http://www.osvdb.org/21665
http://www.osvdb.org/21666
http://www.osvdb.org/21667
http://www.osvdb.org/21668
http://www.osvdb.org/21669
http://www.osvdb.org/21670
http://secunia.com/advisories/18024/
http://www.vupen.com/english/advisories/2005/2862
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4225


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi