漏洞信息详情
Open Ticket Request System (OTRS) index.php 多个SQL注入漏洞
- CNNVD编号:CNNVD-200511-453
- 危害等级: 高危
- CVE编号: CVE-2005-3893
- 漏洞类型: SQL注入
- 发布时间: 2005-11-29
- 威胁类型: 远程
- 更新时间: 2005-11-30
- 厂 商: otrs
- 漏洞来源: Moritz Naumann IT ...
漏洞简介
OpenTRS是一款免费的开源的订票系统,它具有电子邮件、电话等接口功能。
Open Ticket Request System (OTRS) 1.0.0至1.3.2及2.0.0至2.0.3的index.php存在多个SQL注入漏洞,可让远程攻击者通过(1)Login操作中的user参数,以及通过AgentTicketPlain操作的(2) TicketID和(3) ArticleID参数远程认证的用户,执行任意SQL命令。
漏洞公告
参考网址
来源: BID
名称: 15537
链接:http://www.securityfocus.com/bid/15537/
来源: SECUNIA
名称: 17685
链接:http://secunia.com/advisories/17685/
来源: otrs.org
链接:http://otrs.org/advisory/OSA-2005-01-en/
来源: MISC
链接:http://moritz-naumann.com/adv/0007/otrsmulti/0007.txt
来源: BUGTRAQ
名称: 20051122 OTRS 1.x/2.x Multiple Security Issues
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=113272360804853&w=2
来源: XF
名称: otrs-agentticketplain-sql-injection(23354)
链接:http://xforce.iss.net/xforce/xfdb/23354
来源: XF
名称: otrs-login-sql-injection(23352)
链接:http://xforce.iss.net/xforce/xfdb/23352
来源: OSVDB
名称: 21065
链接:http://www.osvdb.org/21065
来源: OSVDB
名称: 21064
链接:http://www.osvdb.org/21064
来源: SUSE
名称: SUSE-SR:2005:030
链接:http://www.novell.com/linux/security/advisories/2005_30_sr.HTML
来源: VUPEN
名称: ADV-2005-2535
链接:http://www.frsirt.com/english/advisories/2005/2535
来源: DEBIAN
名称: DSA-973
链接:http://www.debian.org/security/2006/dsa-973
来源: SECTRACK
名称: 1015262
链接:http://securitytracker.com/id?1015262
来源: SECUNIA
名称: 18887
链接:http://secunia.com/advisories/18887
来源: SECUNIA
名称: 18101
链接:http://secunia.com/advisories/18101
来源: FULLDISC
名称: 20051122 OTRS 1.x/2.x Multiple Security Issues
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2005-November/039001.HTML
受影响实体
- Otrs Otrs:1.0.0
- Otrs Otrs:1.3.2
- Otrs Otrs:2.0.0
- Otrs Otrs:2.0.1
- Otrs Otrs:2.0.2
补丁
暂无
评论