SQL-инъекция в Domain Technologie Control

Дата публикации:
17.02.2009
Дата изменения:
17.02.2009
Всего просмотров:
2194
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Domain Technologie Control 0.x
Уязвимые версии: Domain Technologie Control 0.x

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах "familyname", "christname", "company_name", "phone", "fax", "addr1", "addr2", "addr3", "zipcode", "city", "state" и "vat_num" в сценарии client/new_account.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

URL производителя: www.gplhost.com/software-dtc.html

Решение: Установите исправление с сайта производителя.

Ссылки: http://freshmeat.net/projects/dtc/?branch_id=22759&release_id=292973

или введите имя

CAPTCHA