CA CleverPath Portal远程SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1190834 漏洞类型 SQL注入
发布时间 2007-04-26 更新时间 2007-05-02
CVE编号 CVE-2007-2230 CNNVD-ID CNNVD-200704-500
漏洞平台 N/A CVSS评分 6.5
|漏洞来源
https://www.securityfocus.com/bid/23671
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200704-500
|漏洞详情
CleverPathPortal是一个安全、可扩展的企业信息门户,提供一个协作环境以及信息、应用和Web内容的整合视图。CleverPathPortal在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞非授权访问数据库。CleverPathPortal没有正确验证轻型搜索中的ofinterest参数及高级搜索中的description参数,如果攻击者修改了搜索URL中的上述参数的话,就可能导致发送非预期的数据库查询,检索整个数据库内容,具体取决于用户权限。
|受影响的产品
Computer Associates Unicenter Management Portal 3.1 Computer Associates Unicenter Management Portal 2.0 Computer Associates Unicenter Management Portal 11.0 Computer Associates Unicenter Database Manageme
|参考资料

来源:XF
名称:ca-cpp-search-sql-injection(33853)
链接:http://xforce.iss.net/xforce/xfdb/33853
来源:SECTRACK
名称:1017970
链接:http://www.securitytracker.com/id?1017970
来源:BID
名称:23671
链接:http://www.securityfocus.com/bid/23671
来源:OSVDB
名称:34128
链接:http://www.osvdb.org/34128
来源:MISC
链接:http://www.hacktics.com/AdvCleverPathApr07.html
来源:VUPEN
名称:ADV-2007-1544
链接:http://www.frsirt.com/english/advisories/2007/1544
来源:www.ca.com
链接:http://www.ca.com/us/securityadvisor/newsinfo/collateral.aspx?cid=136879
来源:supportconnectw.ca.com
名称:http://supportconnectw.ca.com/public/cp/portal/infodocs/portal-secnot.asp
链接:http://supportconnectw.ca.com/public/cp/portal/infodocs/portal-secnot.asp
来源:SECUNIA
名称:25002
链接:http://secunia.com/advisories/25002
来源:FULLDISC
名称:20070424SecurityAdvisory:CACleverPathSQLInjection
链接:http://archives.neohapsis.com/archives/fulldisclosure/2007-04/0648.html
来源:ftp.ca.com
链接:ftp://ftp.ca.com/pub/portal/4.71/4.71.001_188_070329/readme_4.71.001_188_070329.txt
来源:BUGTRAQ
名称:20070424Securit