SQL-инъекция в Ocean12 Calendar Manager

Дата публикации:	21.04.2005
Всего просмотров:	1035
Опасность:	Средняя
Наличие исправления:	Нет
Количество уязвимостей:	1
CVE ID:	CVE-2005-1223
Вектор эксплуатации:	Удаленная
Воздействие:	Неавторизованное изменение данных
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Ocean12 Calendar Manager Pro 1.x
	Уязвимые версии: Ocean12 Calendar Manager 1.01 Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Интерфейс входа в систему администратора некорректно обрабатывает входные данные в полях формы 'Admin_id' и 'Admin_password'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды на системе. Пример: Admin_id: Admin' UNION ALL SELECT id,id,id,id,id,id,id,id,id,id,id,id,id,id,id,id,id, id,id,id,id,id,id,id ,id,id,id,id,id,id,i d,id FROM settings WHERE Admin_id='Admin Admin_password: 1 URL производителя: www.ocean12scripts.com/products/calendar/ Решение: Способов устранения уязвимости не существует в настоящее время.
Ссылки:	Ocean12 Calendar manager 1.01 SQL injection

SQL-инъекция в Ocean12 Calendar Manager

Подпишитесь на email рассылку