Security Lab

Изменение SQL запроса в InstaBoard forum software

Дата публикации:18.04.2003
Всего просмотров:1239
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в InstaBoard forum software. Удаленный пользователь может выполнить произвольные SQL команды на сервере базы данных.

Как сообщается, сервер не в состоянии проверить правильность данных, переданных пользователем. В результате Удаленный пользователь может представить специально сформированный URL, который заставит сервер выполнить произвольные SQL команды на основной базе данных. Пример:

http://server/instaboard/index.cfm?frmid=1% 20AND%20u.userid%20IN%20(select%20userid%20from%20users)
http://server/instaboard/index.cfm?frmid=1&tpcid=1%20SQL
http://server/instaboard/index.cfm?frmid=1%20SQL&tpcid =1
http://server/instaboard/index.cfm?pr=replymsg&frmid=1&tpcid=1%20SQL&msgid=11
http://server/instaboard/index.cfm?pr=replymsg&frmid=1&tpcid=1&msgid=11%20SQL
http://server/instaboard/index.cfm?catid=1%20SQL
Уязвимость обнаружена в InstaBoard 1.3
Ссылки: Instaboard 1.3 SQL Injection