SQL-инъекция в LandShop

Дата публикации:	19.12.2005
Дата изменения:	17.10.2006
Всего просмотров:	1769
Опасность:	Средняя
Наличие исправления:	Нет
Количество уязвимостей:	1
CVE ID:	CVE-2005-4018
Вектор эксплуатации:	Удаленная
Воздействие:	Раскрытие системных данных Неавторизованное изменение данных
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	LandShop 0.x
	Уязвимые версии: LandShop 0.6.3 и более ранние версии Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "start", "search_order", "search_type", "search_area" и "keyword" сценария "ls.php". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Примеры: /ls.php?lang=en&action=list&start=[SQL] /ls.php?lang=en&action=list&start=0&CAT_ID=3&keyword =&search_area=&search_type=&infield=&search_order=[SQL] /ls.php?lang=en&action=list&start=0&CAT_ID=3&keyword =&search_area=&search_type=[SQL] /ls.php?lang=en&action=list&start=0&CAT_ID=3&keyword=[SQL] /ls.php?lang=en&action=list&start=0&CAT_ID=3&keyword =&search_area=[SQL] URL производителя: www.landshop.gr Решение: Способов устранения уязвимости не существует в настоящее время. Источник:
Ссылки:	Landshop Real Estate Commerce System Vuln.

SQL-инъекция в LandShop

Подпишитесь на email рассылку