漏洞信息详情
Cybozu Garoon 多个SQL注入漏洞
- CNNVD编号:CNNVD-200608-474
- 危害等级: 中危
- CVE编号: CVE-2006-4444
- 漏洞类型: SQL注入
- 发布时间: 2006-08-29
- 威胁类型: 远程
- 更新时间: 2006-09-05
- 厂 商: cybozu
- 漏洞来源: Tan Chew Keong is ...
漏洞简介
Windows操作系统下Cybozu Garoon 2.1.0软件存在多个SQL注入漏洞,远程认证用户可借助以下参数来执行任意SQL指令:(1) (a) todo/查看(也称TODO列表查看),(b) todo/修改 (也称TODO列表修改),或 (c) todo/删除功能中的tid参数;(2) (d) 工作流程/查看或 (e) 工作流程/打印功能中的pid参数;(3) (f) 进度/用户_查看,(g) /增加,(h) 手机短信/历史,或 (i) 进度/查看功能中的uid参数;(4) (j) todo/索引中的cid参数;(5) (k) 备注/查看或 (l) 备注/打印功能中的iid参数;(6) (m) 进度/查看功能中的event参数。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Cybozu Garoon 2.1
Cybozu Garoon 2.1.1
http://garoon.cybozu.co.jp/download/
参考网址
来源: BID
名称: 19731
链接:http://www.securityfocus.com/bid/19731
来源: SECUNIA
名称: 21664
链接:http://secunia.com/advisories/21664
来源: MISC
链接:http://vuln.sg/cybozugaroon-en.HTML
来源: MISC
链接:http://cybozu.co.jp/products/dl/notice_060825/
来源: XF
名称: cybozu-garoon2-multiple-sql-injection(28594)
链接:http://xforce.iss.net/xforce/xfdb/28594
来源: OSVDB
名称: 28366
链接:http://www.osvdb.org/28366
来源: OSVDB
名称: 28365
链接:http://www.osvdb.org/28365
来源: OSVDB
名称: 28364
链接:http://www.osvdb.org/28364
来源: OSVDB
名称: 28363
链接:http://www.osvdb.org/28363
来源: OSVDB
名称: 28362
链接:http://www.osvdb.org/28362
来源: OSVDB
名称: 28361
链接:http://www.osvdb.org/28361
来源: VUPEN
名称: ADV-2006-3399
链接:http://www.frsirt.com/english/advisories/2006/3399
受影响实体
- Cybozu Garoon:2.1.0_for_windows
补丁
暂无
评论