CubeCart index.php cat_idパラメーターのSQLインジェクション

Language:

リモートWebサーバーに、SQLインジェクション攻撃の影響を受けやすいPHPスクリプトが含まれています。

リモートバージョンのCubeCartにSQLインジェクションの問題があります。このため、攻撃者が「index.php」ファイルの「cat_id」引数に不正な形式の値を送信して、リモートホストで任意のSQLステートメントを実行し、リモートシステム上の任意のファイルを上書きする可能性があります。

CubeCart 2.0.2以降にアップグレードしてください。

深刻度: High

ID: 15442

ファイル名: cubecart_sql_injection.nasl

バージョン: 1.22

タイプ: remote

ファミリー: CGI abuses

公開日: 2004/10/8

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスクファクター: Medium

スコア: 6.6

リスクファクター: High

基本値: 7.5

現状値: 6.2

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CPE: cpe:/a:cubecart:cubecart

必要な KB アイテム: www/cubecart

除外される KB アイテム: Settings/disable_cgi_scanning

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

脆弱性公開日: 2004/10/7

CVE: CVE-2004-1580

BID: 11337