SQL-инъекция в WebspotBlogging

Дата публикации:	23.01.2006
Дата изменения:	24.03.2009
Всего просмотров:	1486
Опасность:	Высокая
Наличие исправления:	Да
Количество уязвимостей:	1
CVE ID:	CVE-2006-0324
Вектор эксплуатации:	Удаленная
Воздействие:	Неавторизованное изменение данных Обход ограничений безопасности Компрометация системы
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	WebspotBlogging 3.x
	Уязвимые версии: WebspotBlogging 3.0 Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "username" сценария "login.php". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Для успешной эксплуатации уязвимости должна быть отключена опция "magic_quotes_gpc". Пример: http://host/webspot/login.php Username: aaaa' union select 1,2,3,1,1,6, 7/* Password: any URL производителя: www.webspot.co.uk Решение: Установите последнюю версию с сайта производителя. Источник: Журнал изменений: 24.03.2009 Изменена секция "Решение"
Ссылки:	[eVuln] WebspotBlogging Authentication Bypass Vulnerability

SQL-инъекция в WebspotBlogging

Подпишитесь на email рассылку