A.ShopKart多个SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1203144 漏洞类型 输入验证
发布时间 2003-01-08 更新时间 2006-01-19
CVE编号 CVE-2003-1268 CNNVD-ID CNNVD-200312-239
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200312-239
|漏洞详情
A.shopKart是一款免费开放源代码的ASP编写的电子购物系统,它包括产品升级,客户管理等功能。A.shopKart对用户提交的输入缺少充分过滤,远程攻击者可以利用这个漏洞提交恶意SQL命令,更改SQL逻辑,修改数据库或从数据库中获得敏感信息。A.shopKart中有一个基本输入检查函数(TwoSingleQ(str)),但没有应用于每个脚本进行检查,其中包括addcustomer.asp、addprod.asp、process.asp脚本,这些脚本对"zip","state","country","phone"和"fax"缺少充分正确的检查,远程攻击者可以在这些字段中提交恶意SQL命令,导致修改SQL逻辑,可能破坏数据库或获得数据库敏感信息。
|参考资料

来源:BID
名称:6558
链接:http://www.securityfocus.com/bid/6558
来源:BUGTRAQ
名称:20030108a.shopKartShoppingCartremotevulnerabilities
链接:http://www.securityfocus.com/archive/1/305685
来源:XF
名称:ashopkart-multiple-sql-injection(11029)
链接:http://www.iss.net/security_center/static/11029.php
来源:www.centaura.com.ar
链接:http://www.centaura.com.ar/infosec/adv/ashopkart.txt
来源:SECTRACK
名称:1005903
链接:http://www.securitytracker.com/id?1005903
来源:OSVDB
名称:37038
链接:http://www.osvdb.org/37038
来源:OSVDB
名称:37037
链接:http://www.osvdb.org/37037
来源:OSVDB
名称:37036
链接:http://www.osvdb.org/37036
来源:SECUNIA
名称:7838
链接:http://secunia.com/advisories/7838
来源:NSFOCUS
名称:4194
链接:http://www.nsfocus.net/vulndb/4194