FreeBSD：OpenX -- SQL 注入漏洞 (dee44ba9-08ab-11e2-a044-d0df9acfd7e5)

high Nessus 插件 ID 62422

语言：

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Secunia 报告：

在 OpenX 中发现一个漏洞，恶意人员可利用该漏洞进行 SQL 注入攻击。

在 SQL 查询中使用之前，在例如“queryAuditBackupTablesByUpgradeId()”函数 (lib/OA/Upgrade/DB_UpgradeAuditor.php) 中未正确审查通过“xajaxargs”参数传递给 www/admin/updates-history.php（“xajax”设置为“expandOSURow”时）的输入。可以通过注入任意 SQL 代码来利用此问题操纵 SQL 查询。

已确认版本 2.8.9 中存在该漏洞。之前的版本可能也受到影响。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?e26415f3

插件详情

严重性: High

ID: 62422

文件名: freebsd_pkg_dee44ba908ab11e2a044d0df9acfd7e5.nasl

版本: 1.5

类型: local

系列: FreeBSD Local Security Checks

发布时间: 2012/10/4

最近更新时间: 2021/1/6

支持的传感器: Nessus

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:openx, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2012/9/27

漏洞发布日期: 2012/9/14

参考资料信息

Secunia: 50598