Security Lab

SQL-инъекция в OpenBook

Дата публикации:03.08.2005
Всего просмотров:1206
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: OpenBook 1.2.2

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах 'userid' и 'password' в функции auth_user() сценария 'admin.php'. Удаленный пользователь может послать сценарию специально сформированный запрос и выполнить произвольные команды в базе данных уязвимого приложения. Пример:

User ID: admin
Password: no') or 1/*

URL производителя: openbook.sourceforge.net

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: [SVadvisory] - SQL injection in OpenBook 1.2.2