SQL-инъекция в Softbiz Resource Repository Script

Дата публикации:
05.12.2005
Всего просмотров:
1174
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Softbiz Resource Repository Script 1.x
Уязвимые версии: Softbiz Resource Repository Script 1.1. и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "sbcat_id" сценария "showcats.php" и параметре "sbres_id" в сценариях "details_res.php", "refer_friend.php" и "report_link.php". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Примеры:

http://[host]/showcats.php?sbcat_id=[sql]
http://[host]/details_res.php?sbres_id=[sql]
http://[host]/refer_friend.php?sbres_id=[sql]
http://[host]/report_link.php?sbres_id=[sql]

URL производителя: www.softbizscripts.com/resource-repository-script-features.php

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник:

Ссылки: Softbiz Resource Repository Script SQL vuln.

или введите имя

CAPTCHA