HotWeb Rentals "PageId" SQL Injection Vulnerability

2011-01-21 / 2011-01-22
Credit: non customers
Risk: High
Local: No
Remote: Yes
CWE: CWE-89


Ogólna skala CVSS: 7.5/10
Znaczenie: 6.4/10
Łatwość wykorzystania: 10/10
Wymagany dostęp: Zdalny
Złożoność ataku: Niska
Autoryzacja: Nie wymagana
Wpływ na poufność: Częściowy
Wpływ na integralność: Częściowy
Wpływ na dostępność: Częściowy

HotWeb Rentals "PageId" SQL Injection Vulnerability PRODUCT >>> http://www.hotwebscripts.co.uk/ Input passed to the "PageId" parameter in default.asp is not properly sanitised before being used in SQL queries. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code. POC >>> default.asp?PageId=-15+union+select+11,22,33,44,55,66,77,88,99+from+user s -- non-customers crew | http://rock-madrid.com/

Referencje:

http://www.securityfocus.com/bid/45567
http://www.securityfocus.com/archive/1/515476
http://secunia.com/advisories/36747


Vote for this issue:
50%
50%


 

Thanks for you vote!


 

Thanks for you comment!
Your message is in quarantine 48 hours.

Comment it here.


(*) - required fields.  
{{ x.nick }} | Date: {{ x.ux * 1000 | date:'yyyy-MM-dd' }} {{ x.ux * 1000 | date:'HH:mm' }} CET+1
{{ x.comment }}

Copyright 2024, cxsecurity.com

 

Back to Top