dynamic photo gallery

Dynamic Photo Gallery`de Açık !

March 4, 2008 yazan DJR

Ücretsiz galeri scriptlerinden olan Dynamic Photo Gallery`de yeni bir SQL Enjeksiyon açığı tesbit edildi...

Aria-Security Team tarafından raporlanan açığa göre;

Sistemin kodlanması esnasında yapılan kodlama hataları nedeniyle, album.php sayfasından çağrılan slide show uygulamasının kullandığı albumID parametresinin filtrelenmemesi nedeniyle, bu parametre üzerinden sistemde SQL sorguları çalıştırılabilmekte ve kullanıcıların bilgilerine ulaşılabilmektedir.