SQL-инъекция в w3b|cms
| Дата публикации: | 28.02.2009 |
| Всего просмотров: | 1949 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Неавторизованное изменение данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
w3b|cms 3.x
Suche 1.x (модуль к w3b|cms) Sitemap 1.x (модуль к w3b|cms) Links 1.x (модуль к w3b|cms) Portfolio 2.x (модуль к w3b|cms) Partner 1.x (модуль к w3b|cms) News 1.x (модуль к w3b|cms) Mediathek 1.x (модуль к w3b|cms) Gallery 1.x (модуль к w3b|cms) Downloads 1.x (модуль к w3b|cms) Blog 1.x (модуль к w3b|cms) |
| Уязвимые версии: w3bcms версии до 3.5.1 Downloads модуль, версия 1.5.0 News модуль, версия 1.5.0 Portfolio модуль, версия 2.0.0 Partner модуль, версия 1.5.0 Mediathek модуль, версия 1.5.0 Sitemap модуль, версия 1.5.0 Links модуль, версия 1.5.0 Blog модуль, версия 1.5.0 Suche модуль, версия 1.5.0 Gallery модуль, версия 1.5.0 Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "cms_admin" файла куки в сценарии admin/index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. 2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценариях ncludes/module/downloads/index.inc.php, includes/module/partner/index.inc.php, includes/module/mediathek/index.inc.php и includes/module/links/index.inc.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. 3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "action" в сценариях includes/module/news/index.inc.php, includes/module/portfolio/index.inc.php, includes/module/blog/index.inc.php и includes/module/gallery/index.inc.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. 4. Уязвимость существует из-за недостаточной обработки входных данных в параметре "seite" в сценарии includes/module/sitemap/index.inc.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. 5. Уязвимость существует из-за недостаточной обработки входных данных в параметре "suchbegriff" в сценарии includes/module/suche/index.inc.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. URL производителя: www.w3bcms.de Решение: Установите последнюю версию с сайта производителя. |
|
| Ссылки: | w3bcms <= v3.5.0 Multiple Remote Vulnerabilities Exploit |
|
|
http://milw0rm.com/exploits/8009 http://www.w3bcms.de/2.news/43.kommentare/ |