Tag sql-injection

Joomla plugin sql-injection 24/03/2020

SQL injection in Joomla HDWPlayer

La versione 4.2 di Joomla HDWPlayer è vulnerabile ad un attacco SQL Injection sul parametro hdwplayersearch. La vulnerabilità è causata da una (grave) mancata validazione dell’input nel modulo components/com_hdwplayer/models/search.php che ne permette un immediato e facile uso con strumenti automatici (come sqlmap). Per via della presenza di PoC pubblici si consiglia l’aggiornamento immediato appena disponibile.

Joomla sql-injection xss 11/03/2020

Aggiornamento Joomla! 3.9.16

  Il team di sviluppo di Joomla! ha rilasciato la versione 3.9.16 che corregge le seguenti vulnerabilità: [CVE-2020-10243] SQL Injection nella gestione del menù degli Articoli in evidenza. Versioni affette: da 1.7.0 a 3.9.15 (estremi inclusi). [CVE-2020-10240] Utenti con username o indirizzi e-mail duplicati. Versioni affette: da 3.0.0 a 3.9.15 (estremi inclusi). [CVE-2020-10239] Accesso non […]

django oracle sql-injection 05/03/2020

Django: Vulnerabilità SQL Injection su database Oracle

Norbert Szetei ha scoperto una vulnerabilità SQL Injection nel modo in cui il framework Django gestisce le aggregazioni e funzioni GIS per i database Oracle[1][2][3]. Le versioni affette sono: Precedente alla 3.0.4 Precedente alla 2.2.11 Precedente alla 1.11.29 Tutte le patch sono già state rilasciate e le versioni aggiornate sono già disponibili. La vulnerabilità SQL Injection […]

django framework sql-injection web 04/02/2020

Possibile SQL injection in Django

  Il popolare framework python Django per lo sviluppo di applicazioni web è potenzialmente vulnerabile ad un attacco di tipo SQL injection nelle versioni: minori di 3.0.3 minori di 2.2.10 minori di 1.11.28 La vulnerabilità (CVE-2020-7471) riguarda la funzione StringAgg (nel package django.contrib.postgres.aggregates), la quale non gestiva correttamente la stringa di delimitatore avuta in input […]