SQL-инъекция в Widget Property

Дата публикации:	19.12.2005
Всего просмотров:	1532
Опасность:	Средняя
Наличие исправления:	Нет
Количество уязвимостей:	1
CVE ID:	Нет данных
Вектор эксплуатации:	Удаленная
Воздействие:	Неавторизованное изменение данных
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Widget Property 1.x Widget Property Lite Widget Property CSV Widget Property Easy
	Уязвимые версии: Widget Property 1.1.19 и более ранние версии Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует при обработке входных данных в параметрах "property_id", "zip_code", "property_type_id", "price" и "city_id" сценария "property.php". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Примеры: /property.php?action=property&property_id=[SQL] /property.php?action=search&city_id=&zip_code =[SQL]&price=&property_type_id=1&submit=submit /property.php?action=search&city_id=&zip_code= & price=75000&property_type_id=[SQL]&submit=submit /property.php?action=search&city_id=&zip_code= & price=[SQL]&property_type_id=&submit=submit /property.php?action=search&city_id=[SQL]&zip_code= & price=&property_type_id=&submit=submit URL производителя: www.widgetpress.com Решение: Способов устранения уязвимости не существует в настоящее время. Источник:
Ссылки:	Widget Property Vuln.

SQL-инъекция в Widget Property

Подпишитесь на email рассылку