10 февраля, 2009
Программа:
VirtueMart 1.1.2, возможно более ранние версии VirtueMart Joomla! eCommerce Edition 1.1.2, возможно более ранние версии
Опасность: Средняя
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "DescOrderBy" в сценарии index.php, когда параметр "option" равен "com_virtuemart" и параметр "page" равен "shop.browse". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "shipping_carrier_name" и "shipping_carrier_list_order" в сценарии index.php, когда параметр "option" установлен в значение "com_virtuemart", параметр "page" равен "shipping.carrier_form" и параметр "pshop_mode" равен "admin". Удаленный пользователь с административными привилегиями в приложении может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "shipping_carrier_id" в сценарии index.php, когда параметр "page" равен "shipping.carrier_list", параметр "func" равен "carrierDelete", параметр "option" равен "com_virtuemart", и параметр "vmtoken" установлен в действительное значение. Удаленный пользователь с административными привилегиями в приложении может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
4. Уязвимость существует из-за недостаточной обработки входных данных в параметре "product_id[w]" в сценарии index.php, когда параметр "option" установлен в значение "com_virtuemart" и параметр "page" равен "product.product_move". Удаленный пользователь с административными привилегиями в приложении может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
URL производителя: virtuemart.net
Решение: Установите последнюю версию 1.1.3 с сайта производителя.