Securinfos : uTopic rating, vulnérabilité d’Injection SQL
mai 2009 par Securinfos
Une vulnérabilité a été rapportée dans uTopic, qui pourrait être exploitée
par des personnes malintentionnées pour conduire des attaques SQL.
L’entrée passée au paramètre "rating" dans admin/utopic.php n’est pas
correctement filtrée avant d’être utilisée dans des requêtes SQL. Cela
pourrait être exploité pour manipuler les interrogations SQL en injectant
du code SQL arbitraire.
L’exploitation de ce problème est possible seulement si "magic_quotes_gpc"
est désactivé.
La vulnérabilité est rapportée en version 1.00. Les autres versions
pourraient également être affectées.