漏洞信息详情
A.ShopKart多个SQL注入漏洞
- CNNVD编号:CNNVD-200312-239
- 危害等级: 高危
- CVE编号: CVE-2003-1268
- 漏洞类型: 输入验证
- 发布时间: 2003-01-08
- 威胁类型: 远程
- 更新时间: 2006-01-19
- 厂 商: urlogy
- 漏洞来源: Ignacio Vazquez※ n...
漏洞简介
A.shopKart是一款免费开放源代码的ASP编写的电子购物系统,它包括产品升级,客户管理等功能。 A.shopKart对用户提交的输入缺少充分过滤,远程攻击者可以利用这个漏洞提交恶意SQL命令,更改SQL逻辑,修改数据库或从数据库中获得敏感信息。 A.shopKart中有一个基本输入检查函数( TwoSingleQ(str) ),但没有应用于每个脚本进行检查,其中包括addcustomer.asp、addprod.asp、process.asp脚本,这些脚本对\"zip\", \"state\", \"country\", \"phone\"和\"fax\"缺少充分正确的检查,远程攻击者可以在这些字段中提交恶意SQL命令,导致修改SQL逻辑,可能破坏数据库或获得数据库敏感信息。
漏洞公告
厂商补丁: URLogy ------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.urlogy.com/asp/ashopkart.asp
参考网址
来源: BID 名称: 6558 链接:http://www.securityfocus.com/bid/6558 来源: BUGTRAQ 名称: 20030108 a.shopKart Shopping Cart remote vulnerabilities 链接:http://www.securityfocus.com/archive/1/305685 来源: XF 名称: ashopkart-multiple-sql-injection(11029) 链接:http://www.iss.net/security_center/static/11029.php 来源: www.centaura.com.ar 链接:http://www.centaura.com.ar/infosec/adv/ashopkart.txt 来源: SECTRACK 名称: 1005903 链接:http://www.securitytracker.com/id?1005903 来源: OSVDB 名称: 37038 链接:http://www.osvdb.org/37038 来源: OSVDB 名称: 37037 链接:http://www.osvdb.org/37037 来源: OSVDB 名称: 37036 链接:http://www.osvdb.org/37036 来源: SECUNIA 名称: 7838 链接:http://secunia.com/advisories/7838 来源:NSFOCUS 名称:4194 链接:http://www.nsfocus.net/vulndb/4194
受影响实体
- Urlogy A.Shop.Kart:2.0.3
补丁
暂无
评论