漏洞信息详情
SynConnect ‘loginid’参数SQL注入漏洞
- CNNVD编号:CNNVD-201303-536
- 危害等级: 高危
- CVE编号: CVE-2013-2690
- 漏洞类型: SQL注入
- 发布时间: 2013-03-27
- 威胁类型: 远程
- 更新时间: 2013-03-27
- 厂 商: synchroweb
- 漏洞来源: Bhadresh Patel of ...
漏洞简介
SynConnect中的loginid参数中存在SQL注入漏洞,该漏洞源于程序使用SQL查询之前没有充分验证用户提供的输入。攻击者利用该漏洞操控应用程序,访问或修改数据,或利用底层数据库中潜在的漏洞。SynConnect 2.0版本中存在漏洞,其他版本也可能受到影响。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.synchroweb.com/prod_syn.php
参考网址
来源: XF
名称: synconnect-index-sql-injection(83040)
链接:http://xforce.iss.net/xforce/xfdb/83040
来源: BID
名称: 58711
链接:http://www.securityfocus.com/bid/58711
来源: packetstormsecurity.com
链接:http://packetstormsecurity.com/files/120958/SynConnect-SQL-Injection.HTML
来源: osvdb.org
链接:http://osvdb.org/ref/91/synconnect.txt
来源: OSVDB
名称: 91693
链接:http://osvdb.org/91693
来源: BUGTRAQ
名称: 20130325 SynConnect PMS SQL Injection Vulnerability
链接:http://archives.neohapsis.com/archives/bugtraq/2013-03/0134.HTML
受影响实体
- Synchroweb Synconnect:2.0
补丁
暂无
评论