SQL-инъекция и обход каталога в MailWatch for MailScanner

Дата публикации:
04.11.2005
Дата изменения:
30.09.2008
Всего просмотров:
1088
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-3470
CVE-2005-3471
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
MailWatch for MailScanner 1.x
Уязвимые версии: MailWatch for MailScanner 1.0.2 и более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю просмотреть произвольные файлы на системе и выполнить SQL команды в базе данных приложения.

1. SQL-инъекция возможна из-за недостаточной обработки входных данных в функции authenticate(). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

2. Обход каталога возможен в Result viewer. Удаленный пользователь может просмотреть произвольные файлы на системе.

URL производителя: mailwatch.sourceforge.net

Решение: Установите последнюю версию (1.0.3) с сайта производителя.

Ссылки: MailWatch for MailScanner Two Vulnerabilities

или введите имя

CAPTCHA