漏洞信息详情

JIWA Financials Crystal Reports .rpt文件 信息泄露漏洞

• CNNVD编号：CNNVD-200605-557
• 危害等级： 中危
  
• CVE编号： CVE-2006-2718
• 漏洞类型： 未知
• 发布时间： 2006-05-31
• 威胁类型： 远程
• 更新时间： 2006-06-01
• 厂        商： jiwa
• 漏洞来源：

漏洞简介

JIWA Financials 6.4.14会将Microsoft SQL Server帐户的用户名和密码以及数据源的名称传给Crystal Reports .rpt文件, 远程认证用户可以通过在用户写入的.rpt 文件中引用某些标准存储过程来执行它们，比如使用可提供每个帐户的用户名和明文密码的存储过程。

漏洞公告

参考网址

来源: SECUNIA

名称: 20342

链接:http://secunia.com/advisories/20342

来源: BUGTRAQ

名称: 20060530 Jiwa Financials - Reporting allows execution of arbitrary reports as SQL user with full permissions.

链接:http://www.securityfocus.com/archive/1/archive/1/435352/100/0/threaded

来源: FULLDISC

名称: 20060529 Jiwa Financials - Reporting allows execution of arbitrary reports as SQL user with full permissions.

链接:http://lists.grok.org.uk/pipermail/full-disclosure/2006-May/046398.HTML

来源: XF

名称: jiwa-financials-information-disclosure(26756)

链接:http://xforce.iss.net/xforce/xfdb/26756

来源: BUGTRAQ

名称: 20060602 Re: Jiwa Financials - Reporting allows execution of arbitrary reports as SQL user with full permissions.

链接:http://www.securityfocus.com/archive/1/archive/1/435730/100/0/threaded

来源: SECTRACK

名称: 1016181

链接:http://securitytracker.com/id?1016181

来源: SREASON

名称: 1000

链接:http://securityreason.com/securityalert/1000

受影响实体

• Jiwa Financials:6.4.14  

补丁

暂无