SQL инъекция в aspWebAlbum
| Дата публикации: | 26.09.2004 |
| Всего просмотров: | 2430 |
| Опасность: | Средняя |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: aspWebAlbum
Описание: Уязвимость обнаружена в aspWebAlbum. Удаленный пользователь может внедрить SQL команды. Удаленный пользователь может внедрить специально сформированные данные через '/album.asp?action=login' страницу, чтобы выполнить произвольные SQL команды на целевой системе. Пример (для поле username): " ' union select Cal_User_Password,1,1,1,1,1,1,1,1,1 from Cal_User where Cal_User_UserName = 'admin'-- "Поле 'cat' в '/album.asp?cat=' также уязвимо. URL производителя: http://www.fullrevolution.com/album_overview.asp Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
| Ссылки: | aspWebCalendar /aspWebAlbum: SQL injection |