BasiliX Webmail数据库查询可插入SQL代码漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204164 漏洞类型 输入验证
发布时间 2002-06-19 更新时间 2006-09-22
CVE编号 CVE-2002-1709 CNNVD-ID CNNVD-200212-556
漏洞平台 N/A CVSS评分 6.4
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200212-556
|漏洞详情
Basilix是一款基于WEB的邮件应用程序,支持邮件附件,地址簿和多语言支持。Basilix对用户提交的用于SQL查询输入缺少正确的过滤,远程攻击者可以利用此漏洞获得数据库的敏感信息或者修改数据库内容。Basilix的SQL查询在处理外部数据时缺少过滤,如:DELETEFROMtableWHEREid=$id攻击者可以提交"id"值给$id,会执行如下SQL命令,导致删除表中所有行:DELETEFROMtableWHEREid=id
|参考资料

来源:XF
名称:basilix-webmail-sql-injection(9385)
链接:http://xforce.iss.net/xforce/xfdb/9385
来源:BID
名称:5061
链接:http://www.securityfocus.com/bid/5061
来源:VULNWATCH
名称:20020619[VulnWatch]BasiliXmultiplevulnerabilities
链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q2/0117.html
来源:NSFOCUS
名称:3004
链接:http://www.nsfocus.net/vulndb/3004