MySQL Eventum mắc lỗi SQL injection và XSS

Hãng bảo mật Secunia hôm qua (1/8) đã cho công bố một số lỗ hổng mới trong chương trình MySQL Eventum 1.5.5.

Theo Secunia, những lỗ hổng này hoàn toàn có thể bị lợi dụng để tiến hành các cuộc tấn công SQL injection và XSS (cross-site scripting) – hai phương thức tấn công nguy hiểm nhất hiện nay.

MySQL Eventum là một phần mềm được sử dụng bởi bộ phận hỗ trợ nhằm theo dõi mọi yêu cầu hỗ trợ kĩ thuật từ phía khách hàng hoặc là công cụ để quản lí tổ chức sắp xếp nhiệm vụ và lỗi trong bộ phận phát triển phần mềm.

Theo Secunia, những lỗi này không thực sự nguy hiểm; tuy nhiên, khả năng bị lợi dụng khai thác để tấn công là vô cùng lớn.

Lỗi SQL injection và XSS chỉ ảnh hưởng đến MySQL Eventum phiên bản dưới 1.5.5. Còn các phiên bản mới hơn thì không không bị lỗi này. Cuối tuần trước MySQL Eventum đã được nâng cấp lên phiên bản 1.6.0.