Выполнение произвольных команд и модификация SQL запроса в CafeLog b2 WebLog

Дата публикации:
16.08.2002
Всего просмотров:
666
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Инструмент CafeLog b2 WebLog позволяет пользователям динамически генерировать страницы новостей и weblogs. Программа использует PHP и базу данных MySQL.

1. b2 WebLog не санирует данные посланные переменной tableposts. Уязвимость позволяет атакующему модифицировать SQL запрос и выполнять произвольные команды в базе данных.

2. Переменная "b2inc" используется как часть пути включаемого файла. Если эта переменная установлена через GPC, то могут быть выполнены произвольные команды или раскрыты произвольные файлы.

Уязвимость обнаружена в Cafelog b2 2.6 pre4

Ссылки: Multiple Vulnerabilities in CafeLog Weblog Package

или введите имя

CAPTCHA