Beskrivelse: Maksymilian Arciemowicz har fundet en sårbarhed i PostNuke, som kan udnyttes af ondsindede administrative brugere til at udføre SQL-indsættelsesangreb.
Input suppleret til parameteren "show" i "modules/Downloads/dl-viewdownload.php" filtreres ikke korrekt, før det benyttes i en SQL-forespørgsel. Dette kan udnyttes til at manipulere SQL-forespørgsler ved at indsætte vilkårlig SQL-kode.
Sårbarheden er bekræftet i version 0.750 og er yderligere rapporteret i version 0.760-RC4b. Tidligere versioner kan også være berørte.
Hvis du har ny information angående dette Secunia advisory eller et produkt i vores database, så send det venligst til os. Du kan sende det til os enten ved at bruge vores web formular eller ved at sende det til vuln@secunia.com.
Ideer, foreslag og andet feedback er også meget velkommen.
