SQL-инъекция в Nephp Publisher

Дата публикации:
09.12.2005
Всего просмотров:
2027
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Nephp Publisher 4.x
Уязвимые версии: Nephp Publisher 4.5.2 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует при обработке входных данных в параметрах "id" и "nnet_catid" сценария "index.html". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Примеры:

/index.html?m=comments&id=[SQL]
/index.html?m=show&id=1[SQL]
/index.html?m=search&opt=search_proceed&keywords
=175&nnet_uid=1&nnet_catid=[SQL]

URL производителя: www.nelogic.com/cms/07-11-2005/19-nephp-publisher.html

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник:

Ссылки: Nephp Publisher v4.5.x SQL inj. vuln.

или введите имя

CAPTCHA