Injection SQL sur le champ username de getApiKey

[h4knet]

Bonjour,

Il est possible de réaliser une injection SQL sur le champ username de la fonction getApiKey.

Exemple d'injection de code utilisant la fonction sleep(3):
/eonapi/getApiKey?username=' union select sleep(3),0,0,0,0,0,0,0 or '

Ceci a été testé sur une installation de EON 5.3 classique téléchargée à partir du site officiel. La version reportée de l'API est la 2.4.2 avec l'installation de EON.

[davoult]

Le correctif a été publié (2.0-2) et est disponible depuis le dépôt EyesOfNetwork

yum update eonapi

[rverchere]

@davoult , il semble que la fonction msql_real_escape_string soit dépréciée:
https://www.php.net/manual/fr/function.mysql-real-escape-string.php

Utiliser plutôt mysqli_*

[h4knet]

Bonjour, Voici la CVE associée : CVE-2020-8656
Référence NIST : https://nvd.nist.gov/vuln/detail/CVE-2020-8656
Score CVSSv3 : 9.8

[Julien1498]

Bonjour,
Un correctif n'utilisant pas de fonction dépréciée a été ajouté.
Cette injection SQL est maintenant impossible.