Security Lab

Неавторизованный доступ в нескольких продуктах от LogiSense

Дата публикации:07.06.2002
Всего просмотров:1015
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: LogiSense (www.logisense.com) – набор продуктов для осуществления платежей и администрирования через web интерфейс. Уязвимость обнаружена в модуле авторизации, используемом несколькими продуктами, включая Hawk-i, Hawk-i ASP и DNS Manager System.

В модуле не фильтруются специальные символы при вводе имени пользователя и пароля. Удаленный атакующий ввести специальную строку, которая изменит существующий Sql запрос, и позволит войти в систему без авторизации. Пример:
В поле имя пользователя/пароль введите ' OR ''='.

Уязвимость обнаружена в LogiSense DNS Manager System, Hawk-i 5.2, Hawk-i ASP

Ссылки: sql injection in Logisense software