SQl инъекция в b2evolution

Дата публикации:
09.01.2005
Дата изменения:
17.10.2006
Всего просмотров:
1046
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: b2evolution 0.9.0.11 и более ранние версии

Описание: Уязвимость в проверке правильности входных данных в b2evolution позволяет удаленному пользователю внедрить SQL команды.

Сценарий '_class_itemlist.php' не проверяет данные, представленные пользователем в параметре title. Удаленный пользователь может представить специально обработанное значение, чтобы выполнить произвольные SQL команды на основной базе данных.

URL производителя:http://forums.b2evolution.net/viewtopic.php?t=2695

Решение:Уязвимость будет устранена в следующем релизе программы. Для временного решения проблемы см. http://forums.b2evolution.net/viewtopic.php?t=2695

Ссылки: Bugs

или введите имя

CAPTCHA