SQL-инъекция в Ocean12 Calendar Manager

Дата публикации:
21.04.2005
Всего просмотров:
744
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Ocean12 Calendar Manager Pro 1.x
Уязвимые версии: Ocean12 Calendar Manager 1.01

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Интерфейс входа в систему администратора некорректно обрабатывает входные данные в полях формы 'Admin_id' и 'Admin_password'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды на системе. Пример:

Admin_id: Admin' UNION ALL SELECT
id,id,id,id,id,id,id,id,id,id,id,id,id,id,id,id,id,
id,id,id,id,id,id,id ,id,id,id,id,id,id,i
d,id FROM settings WHERE Admin_id='Admin

Admin_password: 1

URL производителя: www.ocean12scripts.com/products/calendar/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Ocean12 Calendar manager 1.01 SQL injection

или введите имя

CAPTCHA