WWWeb Cocepts CactuShop存在多个SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1192839 漏洞类型 SQL注入
发布时间 2006-11-20 更新时间 2006-11-20
CVE编号 CVE-2006-5991 CNNVD-ID CNNVD-200611-306
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://www.securityfocus.com/bid/87180
https://cxsecurity.com/issue/WLB-2006110090
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200611-306
|漏洞详情
wwwebconceptsCactuShop存在多个SQL注入漏洞,远程攻击者可以借助(1)prodtype.asp中的prodtype参数和(2)product.asp中的product参数,执行任意SQL命令。
|漏洞EXP
#Aria-Security Team Advisory
#<www.Aria-security.Com For English >
#<www.Aria-Security.net For Persian >
#Original Advisory : http://aria-security.net/advisory/WWWeb Cocepts.txt
#-----------------------------------------------------------
#Software: WWWeb Cocepts
#Method : Sql Injection
#
#PoC:
#http://target/[path]/prodtype.asp?prodtype=[SQL]
#http://target/[path]/product.asp?product=[SQL]
#Contact: Advisory (at) aria-security (dot) net [email concealed]
|受影响的产品
CactuSoft CactuShop 5.1
|参考资料

来源:XF
名称:wwweb-prodtype-product-sql-injection(30261)
链接:http://xforce.iss.net/xforce/xfdb/30261
来源:BUGTRAQ
名称:20061113WWWebCoceptsSQLInjection
链接:http://www.securityfocus.com/archive/1/archive/1/451513/100/100/threaded
来源:VUPEN
名称:ADV-2006-4528
链接:http://www.frsirt.com/english/advisories/2006/4528
来源:SECUNIA
名称:22895
链接:http://secunia.com/advisories/22895
来源:MISC
链接:http://aria-security.net/advisory/WWWeb%20Cocepts.txt
来源:BID
名称:21076
链接:http://www.securityfocus.com/bid/21076
来源:SREASON
名称:1887
链接:http://securityreason.com/securityalert/1887