Podatność CVE-2007-1548


Publikacja: 2007-03-20   Modyfikacja: 2012-02-12

Opis:
SQL injection vulnerability in functions/functions_filters.asp in Web Wiz Forums before 8.05a (MySQL version) does not properly filter certain characters in SQL commands, which allows remote attackers to execute arbitrary SQL commands via \"' (backslash double-quote quote) sequences, which are collapsed into \'', as demonstrated via the name parameter to forum/pop_up_member_search.asp.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
Web Wiz Forums 8.05 (MySQL version) SQL Injection
Ivan Fratric (if...
23.03.2007

Typ:

CWE-89

(Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection'))

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.5/10
6.4/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Webwizguide -> Web wiz forums 

 Referencje:
http://ifsec.blogspot.com/2007/03/web-wiz-forums-805-mysql-version-sql.html
http://securityreason.com/securityalert/2456
http://www.securityfocus.com/archive/1/463287/100/0/threaded
http://www.securityfocus.com/bid/23051
http://www.vupen.com/english/advisories/2007/1061
https://exchange.xforce.ibmcloud.com/vulnerabilities/33095

Copyright 2024, cxsecurity.com

 

Back to Top