SQL injection in Joomla HDWPlayer

24/03/2020

Joomla plugin sql-injection

La versione 4.2 di Joomla HDWPlayer è vulnerabile ad un attacco SQL Injection sul parametro hdwplayersearch.
La vulnerabilità è causata da una (grave) mancata validazione dell’input nel modulo components/com_hdwplayer/models/search.php che ne permette un immediato e facile uso con strumenti automatici (come sqlmap).

Per via della presenza di PoC pubblici si consiglia l’aggiornamento immediato appena disponibile.