SQL-инъекция в enVivo!CMS

Дата публикации:
04.05.2005
Всего просмотров:
919
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
enVivo!CMS
Уязвимые версии: enVivo!CMS

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения.

Уязвимость существует в сценариях admin_login.asp и default.asp при обработке входных данных в параметрах 'username', 'password', и searchstring, ID соответственно. Удаленный пользователь может с помощью специально сформированных значений параметров выполнить произвольные команды в базе данных приложения. Примеры:

a' or 'a' = 'a
http://[target]/envivo101/default.asp?action=
search&searchstring='SQL_INJECTION

http://[target]/envivo101/default.asp?action=
category&ID='SQL_ERROR

URL производителей: www.envivosoft.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Authentication Bypass and Multiple Sql injections in enVivo!CMS

или введите имя

CAPTCHA