SQL注入,XSS缺陷在开发人员报告的问题中
多重漏洞开源可以利用视频平台和Avideo在用户设备上实现远程代码执行(RCE)。
Synacktiv的研究人员发现了多个漏洞在由缺乏用户输入消毒所作的项目共享的源代码中,技术写入读取。
这些问题包括未经身份验证的SQL注射漏洞,多个跨站脚本(xss)漏洞,文件写漏洞。
问题
SQL注入错误可能允许攻击者提取敏感数据,例如密码哈希。它还可以允许未经身份化的用户成为管理员。
多反映了XS漏洞可用于窃取管理员会话cookie并执行作为管理员的操作。
最后,文件写入漏洞可能允许管理员在服务器上执行恶意代码。
Syncktiv表示此时没有官方解决方法,但补充说,用户应该消毒$ catName.在处理SQL查询之前正确输入数据以避免SQL注入。“删除简单报价不是一个足够的过程,”研究人员添加了。
“消毒searchphrase.那你和redirecturi.和htmlentities.避免HTML和JavaScript注入的功能。
“最后,服务器端文件通过标志和代码参数写入没有文件类型检查,即使对于管理员也不应该授权”
漏洞影响AVIDEO版本10.0及以下,以及YouHPTube版本7.8及以下。
可以在此找到更详细的描述和概念证明技术写作(PDF)。
SynackTiv已向开源项目开发人员报告问题。
