Дата публикации: | 24.02.2006 |
Всего просмотров: | 1633 |
Опасность: | Средняя |
Наличие исправления: | Нет |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2006-0689 CVE-2006-0690 CVE-2006-0691 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Неавторизованное изменение данных Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Time Tracking Software 3.x |
Уязвимые версии: Time Tracking Software 3.0, возможно более ранние версии.
Описание: 1. Уязвимость существует из-за ошибки в сценарии "edituser.php" при проверке подлинности пользователя во время редактирования личных данных. Злоумышленник может изменить личные данные любого пользователя приложения. Пример: http://host/timetracking/edituser.php? num=[userid] 2. Отсутствует фильтрация входных данных в некоторых параметрах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Пример: http://host/timetracking/edituser.php? num=999%20union% 20select%201, 2,3,4,5,6,7,8,9,10,11,12, 13/*
Url: http://host/timetracking/login.php URL производителя: schedulingmanagement.com/download-time-tracking-software-now.php Решение: Установите последнюю версию с сайта производителя. Источник: |
|
Ссылки: | [eVuln] Time Tracking Software Multiple Vulnerabilities |