Множественные уязвимости в DUclassified

Дата публикации:
12.10.2004
Всего просмотров:
803
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: DUclassified

Описание:
Обнаружены SQL инъекция и межсайтовое выполнение сценариев в DUclassified.

1. Уязвимость существует из-за недостаточной фильтрации входных данных. Удаленный атакующий может выполнить произвольные SQL команды на сервере.
2. На странице администратора обнаружена ошибка при обработке переменной ‘user’. Удаленный атакующий может использовать эту уязвимость, чтобы получить права администратора.

http://[URL]/DUclassified/admin/ user= admin' or '1'='1

3. Существует ошибка при обработке параметра ‘cat_id’ на странице 'adDetail.asp'.

http://[URL]/DUclassified/adDe tail.asp?cat_id=1;[SQL INJECT]&sub_id=1;[SQL INJECT]

4.Программное обеспечение не фильтрует HTML в сообщениях. Удаленный атакующий может получить доступ к важным данным на системе пользователя.

URL производителя:www.duware.com/products/detail.asp?iPro=19&iCat=9&nCat=Ad%20Management

Решение:Решение на данный момент не существует.

Ссылки: Multiple Vulnerabilities in DUclassified

или введите имя

CAPTCHA