Skocz do treści

Tag: sqli

SQLi w Magento

Na blogu Ambionics Security opublikowane zostały dziś szczegóły podatności w silniku Magento umożliwiające wykonanie ataku Blind SQL Injection mogącego zakończyć się pobraniem zawartości bazy danych. Magento to silnik eCommerce, na którym działa ponad 200 tysięcy sklepów internetowych. Atak nie wymaga uwierzytelnienia. Błąd zawarty jest w obsłudze zapytań za pomocą biblioteki MySQL PDO (Magento może też pracować używając MySQLi) zarówno w wersjach komercyjnych jak i Community Edition. Pomimo tego, że udało się wykorzystać lukę poprzez funkcjonalność dostępną od wersji 2.2.0, błąd występuje także w wcześniejszych wersjach. Masz Magento? Łataj szybko. Aktualizacja łatająca tą i kilka innych luk dostępna jest na stronie…

Zdalne wykonanie kodu w SQLite

Wenxiang Qian z grupy badaczy bezpieczeństwa Tencent Blade Team odkrył podatność w silnikach baz SQLite, która pozwala między innymi na zdalne wykonanie kodu na urządzaniu ofiary. Podatny jest także silnik Chromium używany w wielu aplikacjach i urządzeniach spiętych w Internet of Things (IoT). Grupa posiada działający exploit, który został użyty do ataku na głośniki Google Home. Google załatał już swój kod, Tencent Blade Team wstrzymuje się z opublikowaniem kodu exploita do czasu wypuszczenia aktualizacji przez innych producentów. Łatki zostały także wypuszczone na Red Hat, Debian, openSUSE. Jeśli jesteś autorem oprogramowania lub administratorem zaktualizuj SQLite do 3.26.0,  Chromium i Chrome do 71.0.3578.80.…