Présentation

Une injection SQL est possible dans eonweb, le paramètre d’injection est user_id. Cette injection permet notamment de bypass l’authentification et donc permet à un utilisateur quelconque de s’identifier sans login.

Exploitation

EONRCEv2

Versions concernée(s)

EON 5.1 (Toutes les versions)

EON 5.3-0

EON 5.3-1

EON 5.3-2

Versions patchées

EON 5.3-3

Correction

Télécharger la dernière version d’EON patchée.

Liens relatifs

https://github.com/EyesOfNetworkCommunity/eonweb/issues/51