漏洞信息详情
Cactusoft CactuShop SQL远程注入漏洞
- CNNVD编号:CNNVD-200412-487 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2004-1881
- 漏洞类型: 输入验证
- 发布时间: 2004-03-31
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: cactusoft
- 漏洞来源: Nick Gudov※ cipher...
-
漏洞简介
CactuShop是一款基于ASP的电子商务系统。 CactuShop不充分过滤用户提交的URI参数,远程攻击者可以利用这个漏洞进行SQL注入攻击,可获得敏感信息或更改数据库。 \'\'mailorder.asp\'\'和\'\'payonline.asp\'\'脚本对用户提供给\'\'strItems\'\'参数的数据,在用户SQL查询时缺少充分过滤,提交包含恶意SQL命令数据给\'\'strItems\'\'参数,可更改原有数据库逻辑,获得敏感信息或更改数据库。 另外\'\'largeimage.asp\'\'脚本存在跨站脚本执行问题,可获得用户会话ID及访问用户个人数据。
漏洞公告
厂商补丁: CactuSoft --------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.cactushop.com/
参考网址
来源: SECUNIA 名称: 11272 链接:http://secunia.com/advisories/11272 来源: XF 名称: cactushop-multiple-sql-injection(15686) 链接:http://xforce.iss.net/xforce/xfdb/15686 来源: BID 名称: 10019 链接:http://www.securityfocus.com/bid/10019 来源: www.s-quadra.com 链接:http://www.s-quadra.com/advisories/Adv-20040331.txt 来源: OSVDB 名称: 4786 链接:http://www.osvdb.org/4786 来源: OSVDB 名称: 4785 链接:http://www.osvdb.org/4785 来源: SECTRACK 名称: 1009601 链接:http://securitytracker.com/id?1009601 来源: BUGTRAQ 名称: 20040331 CactuSoft CactuShop v5.x shopping cart software multiple security 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108075059013762&w=2 来源:NSFOCUS 名称:6262 链接:http://www.nsfocus.net/vulndb/6262
受影响实体
- Cactusoft Cactushop:5.1<!--2000-1-1-->
- Cactusoft Cactushop:5.0<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...