Security Lab

Манипуляция SQL запросами в dartool

Дата публикации:19.01.2002
Всего просмотров:839
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: dartool - Perl сценарий, используемый для поиска в базе данных предложений по работе Dice.com. Он ищет в базе данных MySQL совпадающие результаты и отображает их.

dartool уязвим к нападениям внедрения SQL кода. Удаленный нападающий может снабжать злонамеренное значение к поисковому запросу о работе в URL, и в этом случае возможно изменение логики существующего SQL запроса.

Результат успешной эксплуатации - то, что нападающий может выполнять команды на базе данных dartool пользователя и при определенных условиях в основной базе данных.

Уязвимость найдена в dartool 0.1-0.2

Ссылки: http://owasp.securitylab.ru/?ID=27089
http://www.stealthgeeks.net/software/