| WF-Links for Xoops "cid" Parameter Handling Remote SQL Query Injection Vulnerability |
Titre du sujet : WF-Links for Xoops "cid" Parameter Handling Remote SQL Query Injection Vulnerability
par theking83 sur 09/06/2007 19:53:36
Bonjour,
Citation :
Date de Publication : 2007-04-06 © FrSIRT.COM
Titre : WF-Links for Xoops "cid" Parameter Handling Remote SQL Query Injection Vulnerability
Identifiant : FrSIRT/AVIS-2007-1275
CVE ID : CVE-2007-2373
Risque : Modéré
Exploitable à distance : Oui
Exploitable en local : Oui
Description Technique
Une vulnérabilité a été identifiée dans WF-Links (module pour Xoops), elle pourrait être exploitée afin de conduire des attaques par injection SQL. Ce problème résulte d'une erreur présente au niveau du script "viewcat.php" qui ne valide pas le paramètre "cid", ce qui pourrait être exploité par des attaquants afin d'exécuter des requêtes SQL arbitraires.
Versions Vulnérables
WF-Links (module pour Xoops) versions 1.03 et inférieures
Solution
Aucun correctif officiel n'est disponible pour l'instant.
Références
http://www.frsirt.com/bulletins/9838
Crédit
Vulnérabilité découverte par ajann
ChangeLog
2007-04-06 : Version Initiale
Voila les information que j'ai pus trouver à propos de ce module WF-Links que je trouve très bien mais qui n'ai plus mise à jour depuis un bout de temps.
Quel module me conseiller vous pour le remplacer ?
Ou existe t'il un patch pour sécurisé ce module ?
|
|
