Security Lab

Sql инъекция в Powerslave Portalmanager

Дата публикации:22.09.2003
Дата изменения:17.10.2006
Всего просмотров:1098
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Powerslave Portalmanager 4.3

Описание: Уязвимость обнаружена в Powerslave Portalmanager. Удаленный пользователь может получить информацию из базы данных.

Удаленный пользователь может представить URL, содержащий произвольные SQL команды после поля sql-id, чтобы получить информацию о структуре базы данных.

Пример/Эксплоит:

 
http://example.com/powerslave,id,10;,nodeid,,_language,uk.html
                            |
                            |- ; or modified querys
                                 and table-numbers.

Error: Could't find article!
SELECT example_table.* FROM example_table WHERE example_table.ID=10; 

URL производителя: http://www.flyingdog.biz/flyingdog/powerslave,id,2,nodeid,,_language,de.html

Решение: Установите обновленную версию программы: http://www.flyingdog.biz/flyingdog/powerslave,id,6,_language,de,_country,,nodeid,6.html http://www.flyingdog.biz/flyingdog/powerslave,id,6,nodeid,,_language,uk.html

Ссылки: Powerslave 4.3 Information Leak Vuln