Security Lab

SQL-инъекция в PowerPortal

Дата публикации:16.11.2004
Всего просмотров:1045
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: PowerPortal 1.3

Описание:
Обнаружена уязвимость в PowerPortal. Удаленный атакующий может выполнить произвольный SQL код на уязвимой системе.

Уязвимость существует в сценарии 'index.php' из-за некорректной фильтрации данных в переменной 'index_page'. Удаленный атакующий может с помощью специально сформированного URL выполнить произвольный SQL код. Пример:

http://[target]/pp13/index.php? index_page=and 1=1

URL производителя: powerportal.sourceforge.net

Решение: Решение на данный момент не существует.

Ссылки: PowerPortal Input Validation Hole in 'index_page' Lets Remote Users Inject SQL Commands