Уязвимости Межсайтовый скриптинг и SQL-инъекция в Car Site Manager
| Дата публикации: | 17.11.2006 |
| Дата изменения: | 17.11.2006 |
| Всего просмотров: | 1975 |
| Опасность: | Средняя |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVSSv2 рейтинг: | |
| CVE ID: |
CVE-2006-5944 CVE-2006-5945 CVE-2006-6012 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Неавторизованное изменение данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | |
| Уязвимые продукты: | Car Site Manager |
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.
1. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "l", "typ" и "loc" в сценарии listings.asp, и в параметре "p" в сценарии detail.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Пример:
http://site.com/csm/asp/detail.asp?l=&p='[sql]
http://site.com/csm/asp/listings.asp?l='[sql]
http://site.com/csm/asp/listings.asp?s=search&typ='[sql]
http://site.com/csm/asp/listings.asp?s=search&typ=4&loc='[sql]
2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "s" сценария listings.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
URL производителя: www.mginternet.com/aspapps/car-site-manager.asp
Решение: Способов устранения уязвимости не существует в настоящее время.
Блоги
TOP Новости 
Уязвимости 09 февраля, 2012
07 февраля, 2012
06 февраля, 2012
03 февраля, 2012
Подписка
Вирусы