Vulnerabilità: CVE-2005-4227

Multipli ""potenziali"" vulnerabilità di iniezione SQL in DCP-Portal 6.1.1 permettono ad un attaccante remoto di eseguire comandi SQL arbitrari via (1) i parametri di password e username a advertiser.php, (2) il parametro aiuti a announcement.php, (3 ) l’dcp5_member_id, anno, AGID, giorno, day_s, ora, minuto, mese, month_s e parametri year_s in calendar.php, (4) il parametro cid a contents.php, (5) il parametro dcp5_member_id in forums.php, (6) il parametro di offerta nella go.php, (7) il parametro coperchio golink.php, (8) i parametri dcp5_member_id e metà in inbox.php, (9) le catid, DCAT e parametri dl in index.php , (10) il dcp5_member_id in informer.php, (11) il parametro nid in news.php, (12) il tipo e tasso parametri rate.php, (13) il parametro q in search.php, e (14) il dcp5_member_id in update.php. NOTA: altri vettori nel rapporto PHP-CHECKER sono anche coperti da CVE-2005-3365 e CVE-2005-0454.


http://www.securityfocus.com/bid/15183
http://www.securityfocus.com/archive/1/419280/100/0/threaded
http://www.securityfocus.com/archive/1/419487/100/0/threaded
http://glide.stanford.edu/yichen/research/sec.pdf
http://www.osvdb.org/22017
http://www.osvdb.org/22018
http://www.osvdb.org/22019
http://www.osvdb.org/22020
http://www.osvdb.org/22021
http://www.osvdb.org/22022
http://www.osvdb.org/22023
http://www.osvdb.org/22024
http://www.osvdb.org/22025
http://www.osvdb.org/22026
http://www.osvdb.org/22027
http://www.osvdb.org/22028
http://www.osvdb.org/22029
http://www.osvdb.org/22030
http://www.osvdb.org/22031
http://secunia.com/advisories/12751
http://www.vupen.com/english/advisories/2005/2863
https://exchange.xforce.ibmcloud.com/vulnerabilities/22855
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4227


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi