FreeBSD:OpenX -- SQL 插入弱點 (dee44ba9-08ab-11e2-a044-d0df9acfd7e5)
high Nessus Plugin ID 62422
語系:
概要
遠端 FreeBSD 主機缺少安全性相關更新。說明
Secunia 報告:在 OpenX 中發現一個弱點,惡意攻擊者可利用此弱點來發動 SQL 插入攻擊。
將透過 'xajaxargs’ 參數傳送至 www/admin/updates-history.php 的輸入 (將 'xajax' 設定為 'expandOSURow' 時) 用於 SQL 查詢之前,未先正確清理「queryAuditBackupTablesByUpgradeId()」函式 (lib/OA/Upgrade/DB_UpgradeAuditor.php) 等中的輸入。這一點可能會遭到攻擊者惡意利用,藉由插入任意 SQL 程式碼來操控 SQL 查詢。
此弱點已在 2.8.9 版中得以確認。先前的版本也可能受影響。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 62422
檔案名稱: freebsd_pkg_dee44ba908ab11e2a044d0df9acfd7e5.nasl
版本: 1.5
類型: local
已發布: 2012/10/4
已更新: 2021/1/6
支援的感應器: Nessus
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:openx, cpe:/o:freebsd:freebsd
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2012/9/27
弱點發布日期: 2012/9/14
參考資訊
Secunia: 50598