SQL инъекция в aspWebCalendar

Дата публикации:
26.09.2004
Дата изменения:
17.10.2006
Всего просмотров:
2829
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: aspWebCalendar

Описание: Уязвимость обнаружена в aspWebCalendar. Удаленный пользователь может внедрить SQL команды.

Удаленный пользователь может внедрить специально сформированные данные через '/calendar.asp?action=login' страницу, чтобы выполнить произвольные SQL команды на целевой системе. Пример (для поле username):

 " ' union select Cal_User_Password,1,1,1,1,1,1,1,1,1 from Cal_User where Cal_User_UserName = 'admin'-- "
Поле 'eventid' в '/calendar.asp?action=eventdetail&eventid=' также уязвимо.

URL производителя:http://www.fullrevolution.com/calendar_overview.asp

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: aspWebCalendar /aspWebAlbum: SQL injection

или введите имя

CAPTCHA