Выполнение SQL инструкций в Xoops

Дата публикации:
31.01.2002
Дата изменения:
17.10.2006
Всего просмотров:
1144
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Xoops – свободно доступное программное обеспечение для создания Web порталов, написанное в PHP для Unix+MySQL.

Сценарий userinfo.php должным образом не санирует ввод пользователя, снабженный SQL инструкцией. Возможно изменить SQL инструкцию, что может привести к раскрытию чувствительной информации. Выданные сообщения об ошибках, могут пропускать дополнительную информацию о структуре запроса.

Уязвимость найдена в Xoops 1.0 RC1

Пример: http://xoops-site/userinfo.php?uid=1[SQL Query]

Ссылки: Источник
http://owasp.securitylab.ru/?ID=27089
http://xoops.sourceforge.net/

или введите имя

CAPTCHA