SQL инъекция в Spider Sales shopping cart
| Дата публикации: | 07.03.2004 |
| Всего просмотров: | 1759 |
| Опасность: | Высокая |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: Spider Sales Shopping Cart
Описание: Несколько уязвимостей обнаружено в Spider Sales shopping cart. Удаленный пользователь может выполнить произвольные команды операционной системы не целевой системе. Несколько сценариев не проверяют данные, представленные пользователем в параметре 'userId'. Удаленный пользователь может представить специально обработанный URL, чтобы внедрить произвольные SQL команды: http://[target]/Carts/Computers/viewCart.asp?userID=2893225125722634';exec%20master..xp_cmdshell%20'dir%20c:%20>%20c: \inetpub\wwwroot\dirc.txt'--&&Также сообщается, что программное обеспечение использует слабое кодирование паролей, хранящихся в базе данных. URL производителя: http://www.spidersales.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
| Ссылки: | Spider Sales shopping cart software multiple security vulnerabilities |