SQL-инъекция в (i)Site

Дата публикации:
02.06.2005
Всего просмотров:
842
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: (i)Site

Описание:
Уязвимость позволяет удаленному пользователю скачать базу данных и выполнить произвольные SQL команды в базе данных приложения.

1. SQL-инъекция возможна из-за недостаточной обработки данных в параметре 'password' файла 'admin/login.asp'. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Пример:

usename: attacker
password: ' or 'a'='a

2. По умолчанию база данных 'users.mdb' сохранена в доступной для всех директории. Удаленный пользователь может скачать файл базы данных. Пример:

http://[target]/databases/User s.mdb

URL производителя: www.nextweb.gr/isite/default.asp

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: NEXTWEB (i)Site≥ multiple vulnerabilities

или введите имя

CAPTCHA