Множественные уязвимости в Time Tracking Software
| Дата публикации: | 24.02.2006 |
| Всего просмотров: | 1633 |
| Опасность: | Средняя |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2006-0689 CVE-2006-0690 CVE-2006-0691 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Неавторизованное изменение данных Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Time Tracking Software 3.x |
| Уязвимые версии: Time Tracking Software 3.0, возможно более ранние версии.
Описание: 1. Уязвимость существует из-за ошибки в сценарии "edituser.php" при проверке подлинности пользователя во время редактирования личных данных. Злоумышленник может изменить личные данные любого пользователя приложения. Пример: http://host/timetracking/edituser.php? num=[userid] 2. Отсутствует фильтрация входных данных в некоторых параметрах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Пример: http://host/timetracking/edituser.php? num=999%20union% 20select%201, 2,3,4,5,6,7,8,9,10,11,12, 13/*
Url: http://host/timetracking/login.php URL производителя: schedulingmanagement.com/download-time-tracking-software-now.php Решение: Установите последнюю версию с сайта производителя. Источник: |
|
| Ссылки: | [eVuln] Time Tracking Software Multiple Vulnerabilities |