Security Lab

SQL инъекция в Metadot Portal Server

Дата публикации:20.01.2004
Всего просмотров:1232
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Metadot Portal Server 5.6.5.4b5

Описание: Несколько уязвимостей обнаружено в Metadot Portal Server. Удаленный пользователь может выполнить нападение SQl инъекции. Удаленный пользователь может выполнить XSS нападение.

Программное обеспечение не фильтрует несколько переменных. В результате удаленный пользователь может выполнить нападение SQl инъекции:

/index.pl?isa=Session&op=auto_login&new_user=&key='[Problem]
/index.pl?id=[Evil_Query]
/index.pl?iid=[Evil_Query]
/index.pl?isa=Session&op=auto_l ogin&new_user=&key=[Evil_Query]
/index.pl?iid=[ValidID]&isa=Discussion&op=
/index.pl?isa=blah
Также несколько сценариев уязвимы к XSS нападению:
/index.pl?isa=XSS<iframe%20src=http://www.gulftech.org>
/userchannel.pl?id=435&isa=NewsCh annel&redirect=1&op="><iframe%20src=http://www.gulftech.org>
/index.pl?iid='"><iframe%20src=http://www.gulftech.org>

URL производителя: http://www.metadot.com/metadot/index.pl?id=2037

Решение:Установите обновленную версию программы: http://www.metadot.com/metadot/index.pl?id=2037

Ссылки: Multiple MetaDot Vulnerabilities [ All Versions ]