SQL-инъекция в WebCalendar

Дата публикации:	19.02.2005
Всего просмотров:	949
Опасность:	Средняя
Наличие исправления:	Да
Количество уязвимостей:	1
CVE ID:	Нет данных
Вектор эксплуатации:	Удаленная
Воздействие:	Неавторизованное изменение данных
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	WebCalendar 0.9.x
	Уязвимые версии: WebCalendar 0.9.45 Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения. Уязвимость существует в функции user_valid_crypt function() из-за некорректной обработки логина пользователя, передаваемого в зашифрованной форме в файле cookie. Удаленный пользователь может специальным образом создать файл cookie и произвести SQL-инъекцию. URL производителя: http://www.k5n.us/webcalendar.php Решение: Установите последнюю версию http://www.k5n.us/downloads.php
Ссылки:	WebCalendar: SQL Injection from encoded cookie

Подпишитесь на email рассылку