Vulnerabilidad en ClipBucket (CVE-2012-5849)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
14/05/2015
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades de inyección SQL en ClipBucket 2.6 Revision 738 y anteriores permiten a atacantes remotos ejecutar comandos SQL arbitrarios a través (1) del parámetro uid en la acción de add_friend en ajax.php; en el parámetro id en la acción (2) share_object, (3) add_to_fav, (4) rating, o (5) flag_object en ajax.php; del parámetro cid en la acción (6) add_new_item, (7) remove_collection_item, (8) get_item, o (9) load_more_items en ajax.php; del parámetro (10) ci_id en la acción get_item en ajax.php; del parámetro user en (11) user_contacts.php o (12) view_channel.php; del parámetro (13) pid en view_page.php; del parámetro (14) tid en view_topic.php; o (15) del parámetro v en watch_video.php.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:clip-bucket:clipbucket:*:*:*:*:*:*:*:* | 2.6 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://archives.neohapsis.com/archives/bugtraq/2012-12/0056.html
- http://archives.neohapsis.com/archives/bugtraq/2012-12/0063.html
- http://forums.clip-bucket.com/showthread.php?12527-Security-Fix-ClipBucket-2-6-SQL-Injections-fix-%28Updated%29=
- http://osvdb.org/88175
- http://osvdb.org/88176
- http://osvdb.org/88177
- http://osvdb.org/88178
- http://osvdb.org/88179
- http://osvdb.org/88180
- http://sourceforge.net/projects/clipbucket/files/ClipBucket%20v2/
- http://www.exploit-db.com/exploits/23252
- http://www.securityfocus.com/bid/56854
- https://www.htbridge.com/advisory/HTB23125
- http://archives.neohapsis.com/archives/bugtraq/2012-12/0056.html
- http://archives.neohapsis.com/archives/bugtraq/2012-12/0063.html
- http://forums.clip-bucket.com/showthread.php?12527-Security-Fix-ClipBucket-2-6-SQL-Injections-fix-%28Updated%29=
- http://osvdb.org/88175
- http://osvdb.org/88176
- http://osvdb.org/88177
- http://osvdb.org/88178
- http://osvdb.org/88179
- http://osvdb.org/88180
- http://sourceforge.net/projects/clipbucket/files/ClipBucket%20v2/
- http://www.exploit-db.com/exploits/23252
- http://www.securityfocus.com/bid/56854
- https://www.htbridge.com/advisory/HTB23125