JAWS ControlPanel.php SQL注入漏洞

漏洞信息详情

JAWS ControlPanel.php SQL注入漏洞

• CNNVD编号：CNNVD-200407-096
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-2067
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-07-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-06-15
  
• 厂        商：
  
  jaws
• 漏洞来源：
  Fernando Quintero※…

Jaws是一款动态构建WEB站点的内容管理系统。
Jaws controlpanel.php脚本不正确处理用户提交的URI参数，远程攻击者可以利用这个漏洞无需要提供密码访问管理员控制面版。
由于controlpanel.php脚本对用户提交给\”crypted_password\”变量缺少正确的逻辑检查，攻击者提交类似\’\’\’\’\’\’ or \’\’2\’\’=\’\’2\’\’\’\’的数据，可导致逻辑错误，无需提供正确密码通过验证访问应用程序管理面版。

厂商补丁：
JAWS
—-
目前CVS版本已经修补此问题，请到厂商的主页下载：

http://www.jaws.com.mx/” target=”_blank”>
http://www.jaws.com.mx/

来源: XF
名称: jaws-controlpanel-sql-injection(16847)
链接:http://xforce.iss.net/xforce/xfdb/16847

来源: BID
名称: 10826
链接:http://www.securityfocus.com/bid/10826

来源: OSVDB
名称: 8320
链接:http://www.osvdb.org/8320

来源: SECTRACK
名称: 1010815
链接:http://securitytracker.com/id?1010815

来源: BUGTRAQ
名称: 20040729 Jaws 0.4: authentication bypass
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109116345930380&w=2