|
|
Цель: Amiro CMS <= 5.4.4
Тип: SQL инъекция
Угроза: Средняя
Дата обнаружения: 28.12.2009
Дата оповещения разработчика: 29.12.2009
Дата выхода исправления: 05.03.2010
Автор: Vladimir Vorontsov
OnSec Russian Security Group (onsec [dot] ru)
Описание: Обнаружена уязвимость внедрения операторов СУБД на странице регистрации пользователя. Злоумышленник может заполнить поле "Подпись в форуме" специальными данными и повлиять на структуру запроса к СУБД. Информация о запросе не выводиться на экран, таким образом, возможно проведение "слепой" инъекции с целью получения данных или же инъекции с целью подмены данных. Инъекция происходит в оператор СУБД INSERT. Более подробные сведения не разглашаются по просьбе разработчика.