Abarcar Realty Portal多个SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1192906 漏洞类型 SQL注入
发布时间 2006-11-09 更新时间 2006-12-11
CVE编号 CVE-2006-5840 CNNVD-ID CNNVD-200611-187
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://cxsecurity.com/issue/WLB-2006110043
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200611-187
|漏洞详情
**争议**AbarcarRealtyPortal中存在多个SQL注入漏洞,远程攻击者可通过(1)传到newsdetails.php的neid参数和(2)传给slistl.php的slid参数执行任意SQL命令。注:cat向量已包含在CVE-2006-2853中。注:厂商已经通知CVE当前版本只创建静态页,在任一版本中都不存在有slistl.php/slid。
|漏洞EXP
software:Abarcar
product:Realty Portal  
vendor site : http://www.abarcar.com/
risk : medium

/newsdetails.php?neid=[sql]
/slistl.php?slid=[sql]
/content.php?cat=[sql]

laurent gaffi & benjamin moss
http://s-a-p.ca/
contact: saps.audit (at) gmail (dot) com [email concealed]
|参考资料

来源:BID
名称:20970
链接:http://www.securityfocus.com/bid/20970
来源:XF
名称:abarcar-realty-newsdetails-sql-injection(30135)
链接:http://xforce.iss.net/xforce/xfdb/30135
来源:BUGTRAQ
名称:20061108AbarcarRealtyPortal[injectionsql]
链接:http://www.securityfocus.com/archive/1/archive/1/450946/100/0/threaded
来源:VUPEN
名称:ADV-2006-4418
链接:http://www.frsirt.com/english/advisories/2006/4418
来源:VIM
名称:20061207Vendordispute-CVE-2006-5840(abarcarRealtyPortal)
链接:http://www.attrition.org/pipermail/vim/2006-December/001170.html
来源:SECUNIA
名称:22792
链接:http://secunia.com/advisories/22792
来源:OSVDB
名称:30250
链接:http://www.osvdb.org/30250
来源:OSVDB
名称:30249
链接:http://www.osvdb.org/30249
来源:SREASON
名称:1840
链接:http://securityreason.com/securityalert/1840
来源:MISC
链接:http://s-a-p.ca/index.php?page=OurAdvisories&id=7
来源:VIM
名称:20061219abarcarvendorstatementonCVE-2006-5840
链接:http://attrition.org/pipermail/vim/2006-December/001190.html