Ücretsiz galeri scriptlerinden olan Dynamic Photo Gallery`de yeni bir SQL Enjeksiyoni açığı tesbit edildi...

Aria-Security Team tarafından raporlanan açığa göre;

Sistemin kodlanması esnasında yapılan kodlama hataları nedeniyle, album.phpi sayfasından çağrılan slide show uygulamasının kullandığı albumID parametresinin filtrelenmemesi nedeniyle, bu parametre üzerinden sistemde SQL sorguları çalıştırılabilmekte ve kullanıcıların bilgilerine ulaşılabilmektedir.

Çözüm:
album.php sayfasında eklenecek bir filtreleme kodu, sorunu halledecektir.

Kaynak:
milw0rm
http://www.milw0rm.com/exploits/5211

Cyber-Security Editor | Onur YILMAZ