Security Lab

SQL инъекция в CubeCart

Дата публикации:09.10.2004
Всего просмотров:1136
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: CubeCart 2.0.1

Описание:
Обнаружено несколько уязвимостей в CubeCart.
1. Удаленный атакующий может выполнить произвольные SQL команды на севере:
http://[target]/store/index.php?cat_id=1 or 1=1--
2. Удаленный атакующий может определить путь к установочной директории:
http://[target]/store/index.php?cat_id='

URL производителя: http://www.cubecart.com/site/home/

Решение:Решение на данный момент не существует.

Ссылки: Full path disclosure and sql injection on CubeCart 2.0.1