CVE-2020-27886
Présentation
Une injection SQL est possible dans eonweb, le paramètre d’injection est user_name. Cette injection permet notamment de bypass l’authentification et donc permet à un utilisateur quelconque de s’identifier sans login. Cette injection est possible dans la fonction username_available() du fichier includes/functions.php appelé par le fichier login.php.
Exploitation
Versions concernée(s)
EON 5.3-7 EON 5.3-8
Versions patchées
Toutes les versions d’EON après la version :
Correction
Télécharger la dernière version d’EON patchée.