SQL-инъекция в (i)Site

Описание:
Уязвимость позволяет удаленному пользователю скачать базу данных и выполнить произвольные SQL команды в базе данных приложения.

1. SQL-инъекция возможна из-за недостаточной обработки данных в параметре 'password' файла 'admin/login.asp'. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Пример:

usename: attacker
password: ' or 'a'='a

2. По умолчанию база данных 'users.mdb' сохранена в доступной для всех директории. Удаленный пользователь может скачать файл базы данных. Пример:

http://[target]/databases/User s.mdb

URL производителя: www.nextweb.gr/isite/default.asp

Решение: Способов устранения уязвимости не существует в настоящее время.