Security Lab

SQl инъекция в b2evolution

Дата публикации:09.01.2005
Дата изменения:17.10.2006
Всего просмотров:1236
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: b2evolution 0.9.0.11 и более ранние версии

Описание: Уязвимость в проверке правильности входных данных в b2evolution позволяет удаленному пользователю внедрить SQL команды.

Сценарий '_class_itemlist.php' не проверяет данные, представленные пользователем в параметре title. Удаленный пользователь может представить специально обработанное значение, чтобы выполнить произвольные SQL команды на основной базе данных.

URL производителя:http://forums.b2evolution.net/viewtopic.php?t=2695

Решение:Уязвимость будет устранена в следующем релизе программы. Для временного решения проблемы см. http://forums.b2evolution.net/viewtopic.php?t=2695

Ссылки: Bugs