Дата публикации: | 18.04.2003 |
Всего просмотров: | 1245 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | Уязвимость обнаружена в InstaBoard forum software. Удаленный пользователь может выполнить произвольные SQL команды на сервере базы данных.
Как сообщается, сервер не в состоянии проверить правильность данных, переданных пользователем. В результате Удаленный пользователь может представить специально сформированный URL, который заставит сервер выполнить произвольные SQL команды на основной базе данных. Пример: http://server/instaboard/index.cfm?frmid=1% 20AND%20u.userid%20IN%20(select%20userid%20from%20users) http://server/instaboard/index.cfm?frmid=1&tpcid=1%20SQL http://server/instaboard/index.cfm?frmid=1%20SQL&tpcid =1 http://server/instaboard/index.cfm?pr=replymsg&frmid=1&tpcid=1%20SQL&msgid=11 http://server/instaboard/index.cfm?pr=replymsg&frmid=1&tpcid=1&msgid=11%20SQL http://server/instaboard/index.cfm?catid=1%20SQLУязвимость обнаружена в InstaBoard 1.3 |
Ссылки: | Instaboard 1.3 SQL Injection |