SQL-инъекция в продуктах Etoshop

Дата публикации:
04.03.2009
Дата изменения:
04.03.2009
Всего просмотров:
1822
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Etoshop Webstore Creator 5.x
Etoshop C2C Reverse Auction Creator 2.x
Etoshop C2C Forward Auction Creator 2.x
Etoshop B2C StoreBuilder Designer 2.x
Etoshop B2B Reverse Auction Creator 2.x
Etoshop B2B Online Shop Creator 4.x
Etoshop B2B Horizontal Marketplace Creator 2.x
Etoshop B2B Forward Auction Creator 2.x
Уязвимые версии:
B2B Online Shop Creator 4.0
Webstore Creator 5.0
B2B Horizontal Marketplace Creator 2.0
B2B Reverse Auction Creator 2.0
B2B Forward Auction Creator 2.0
C2C Forward Auction Creator 2.0
C2C Reverse Auction Creator 2.0
B2C StoreBuilder Designer 2.0

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в полях "User ID" и "Password" в сценарии admin.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

URL производителя: www.etoshop.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://packetstorm.linuxsecurity.com/0902-exploits/shopcreator-sql.txt
http://packetstorm.linuxsecurity.com/0902-exploits/webstorecreator-sql.txt
http://packetstorm.linuxsecurity.com/0902-exploits/b2bhmc-sql.txt
http://packetstorm.linuxsecurity.com/0902-exploits/b2brac-sql.txt
http://packetstorm.linuxsecurity.com/0902-exploits/b2bfac-sql.txt
http://packetstorm.linuxsecurity.com/0902-exploits/gsc-sql.txt
http://packetstorm.linuxsecurity.com/0902-exploits/c2crac-sql.txt
http://packetstorm.linuxsecurity.com/0902-exploits/b2csbd-sql.txt

или введите имя

CAPTCHA