Внедрение SQL запроса в IBM Informix Web Datablade
| Дата публикации: | 15.04.2002 |
| Всего просмотров: | 1090 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Informix - база данных, поставляемая IBM. Web Datablade Module для Informix SQL динамически производит HTML содержание. Web Datablade доступен для Apache, IIS и Netscape и работает на большинстве платформ.
Возможно ввести команды SQL в запрос любой страницы, обработанный Web Datablade. В результате это может приводить к раскрытию информации или увеличения доступа к базе данных. Пример: http://victim.com/site/' UNION ALL SELECT FileToClob('/etc/passwd','server')::html,0 FROM sysusers WHERE username = USER --/.html Уязвимость найдена в IBM Informix Web Datablade 4.10-4.13 |
| Ссылки: | Источник |
|
|
http://owasp.securitylab.ru/?ID=27089 |