SQL-инъекция в MaxWebPortal

Дата публикации:
12.05.2005
Всего просмотров:
860
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: MaxWebPortal 2.0 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения.

Уязвимость существует из-за отсутствия должной проверки входных данных в различных функциях:

inc_top.asp
inc_function.asp
pic_pop_share.asp
pic_pop_share.asp
pm_dele te2.asp
pm_pop_privatesend_info.asp
pm_view.asp?marknew=1
pop_announce_delete.asp
pop_avatar_delete.asp
pop_delete.asp
pop_profile.asp
privatedelete.asp
privatese nd_info.asp
register.asp

Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения.

Пример/Эксплоит: См. источник сообщения.

URL производителей: www.maxwebportal.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Maxwebportal Sql injections bugs

или введите имя

CAPTCHA