Манипуляция SQL запросами в dartool

Дата публикации:
19.01.2002
Всего просмотров:
520
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: dartool - Perl сценарий, используемый для поиска в базе данных предложений по работе Dice.com. Он ищет в базе данных MySQL совпадающие результаты и отображает их.

dartool уязвим к нападениям внедрения SQL кода. Удаленный нападающий может снабжать злонамеренное значение к поисковому запросу о работе в URL, и в этом случае возможно изменение логики существующего SQL запроса.

Результат успешной эксплуатации - то, что нападающий может выполнять команды на базе данных dartool пользователя и при определенных условиях в основной базе данных.

Уязвимость найдена в dartool 0.1-0.2

Ссылки: http://owasp.securitylab.ru/?ID=27089
http://www.stealthgeeks.net/software/

или введите имя

CAPTCHA