A.ShopKart多个SQL注入漏洞

漏洞信息详情

A.ShopKart多个SQL注入漏洞

• CNNVD编号：CNNVD-200312-239
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2003-1268
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-01-08
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-01-19
  
• 厂        商：
  
  urlogy
• 漏洞来源：
  Ignacio Vazquez※ n…

A.shopKart是一款免费开放源代码的ASP编写的电子购物系统，它包括产品升级，客户管理等功能。
A.shopKart对用户提交的输入缺少充分过滤，远程攻击者可以利用这个漏洞提交恶意SQL命令，更改SQL逻辑，修改数据库或从数据库中获得敏感信息。
A.shopKart中有一个基本输入检查函数( TwoSingleQ(str) )，但没有应用于每个脚本进行检查，其中包括addcustomer.asp、addprod.asp、process.asp脚本，这些脚本对\”zip\”， \”state\”， \”country\”， \”phone\”和\”fax\”缺少充分正确的检查，远程攻击者可以在这些字段中提交恶意SQL命令，导致修改SQL逻辑，可能破坏数据库或获得数据库敏感信息。

厂商补丁：
URLogy
——
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.urlogy.com/asp/ashopkart.asp” target=”_blank”>
http://www.urlogy.com/asp/ashopkart.asp

来源: BID
名称: 6558
链接:http://www.securityfocus.com/bid/6558

来源: BUGTRAQ
名称: 20030108 a.shopKart Shopping Cart remote vulnerabilities
链接:http://www.securityfocus.com/archive/1/305685

来源: XF
名称: ashopkart-multiple-sql-injection(11029)
链接:http://www.iss.net/security_center/static/11029.php

来源: www.centaura.com.ar
链接:http://www.centaura.com.ar/infosec/adv/ashopkart.txt

来源: SECTRACK
名称: 1005903
链接:http://www.securitytracker.com/id?1005903

来源: OSVDB
名称: 37038
链接:http://www.osvdb.org/37038

来源: OSVDB
名称: 37037
链接:http://www.osvdb.org/37037

来源: OSVDB
名称: 37036
链接:http://www.osvdb.org/37036

来源: SECUNIA
名称: 7838
链接:http://secunia.com/advisories/7838

来源：NSFOCUS
名称：4194
链接：http://www.nsfocus.net/vulndb/4194