SQL-инъекция в HELM

Описание:
Несколько уязвимостей обнаружено в HELM. Удаленный атакующий может произвести SQL-инъекция, межсайтовый скриптинг и получить административные привилегии.

Уязвимость обнаружена в модуле HELM Messaging при обработке входных данных.

Параметр messageToUserAccNum в формы compose message некорректно фильтруется, из-за чего удаленный авторизованный пользователь может выполнить произвольный SQL код. Следующий код добавляет пользователя с административными привилегиями в базу данных:

xxxx',10,0); insert into
account(accountnumber,accounttype,accountpassword) values('root',0,'');--

Межсайтовое выполнение сценариев возможно из-за некорректной фильтрации данных поля Subject в форме compose message. Удаленный атакующий может создать специально сформированный HTML код, который будет выполнен в браузере целевого пользователя в контексте безопасности уязвимого сайта.

URL производителя: helm.webhostautomation.com/products/helm

Решение: Установите исправление
http://helm.webhostautomation.com/