Securinfos : RTWebalbum AlbumId, vulnérabilité d’Injection SQL
mai 2009 par Securinfos
Une vulnérabilité a été rapportée dans RTWebalbum, qui pourrait être
exploitée par des personnes malintentionnées pour conduire des attaques
SQL.
L’entrée passée au paramètre "AlbumId" dans index.php n’est pas
correctement filtrée avant d’être utilisée dans des requêtes SQL. Cela
pourrait être exploité pour manipuler les interrogations SQL en injectant
du code SQL arbitraire.
La vulnérabilité est rapportée en versions inférieures à 1.0.574.