SQL-инъекция в PHP-Fusion

Дата публикации:
26.11.2008
Всего просмотров:
3247
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PHP-Fusion 6.x
PHP-Fusion 7.x
Уязвимые версии: PHP-Fusion 6.01.15 и 7.00.1, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "subject" в сценарии messages.php, когда параметр "send_message" установлен в значение "Send". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

URL производителя: www.php-fusion.co.uk

Решение: Установите последнюю версию 6.01.16 или 7.00.2 с сайта производителя.

Ссылки: PHP-Fusion 7.00.1 (messages.php) Remote SQL Injection Exploit

или введите имя

CAPTCHA