@1文件存储 SQL注入漏洞

漏洞信息详情

@1文件存储 SQL注入漏洞

• CNNVD编号：CNNVD-200603-327
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-1278
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2006-03-19
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2009-08-28
  
• 厂        商：
  
  upoint
• 漏洞来源：
  Aliaksandr Hartsuy…

在@1 File Store 2006.03.07中存在SQL注入漏洞 ，远程攻击者可通过以下途径执行任意SQL命令：id参数，用于在libs目录中的(1) functions.php和(2) user.php，在control/files/中的(3) edit.php和(4) delete.php，在control/users/中的(5) edit.php和(6) delete.php，(7) edit.php，(8) access.php，和(9)在control/folders/中，在 in control/groups/中的(10) access.php和(11) delete.php，(12) confirm.php，和(13) download.php；在password.php中的(14)email参数，和在folder.php中的 (15) id参数。注：后面的报告称向量12和13也影响到@1 File Store PRO 3.2。

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本。

来源: XF

名称: filestorepro-download-file-include(43724)

链接:http://xforce.iss.net/xforce/xfdb/43724

来源: XF

名称: filestorepro-id-sql-injection(43718)

链接:http://xforce.iss.net/xforce/xfdb/43718

来源: XF

名称: filestore-multiple-sql-injection(25183)

链接:http://xforce.iss.net/xforce/xfdb/25183

来源: BID

名称: 30182

链接:http://www.securityfocus.com/bid/30182

来源: BID

名称: 17090

链接:http://www.securityfocus.com/bid/17090

来源: BUGTRAQ

名称: 20060324 [eVuln] @1 File Store Multiple XSS and SQL Injection Vulnerabilities

链接:http://www.securityfocus.com/archive/1/archive/1/428659/100/0/threaded

来源: OSVDB

名称: 24106

链接:http://www.osvdb.org/24106

来源: OSVDB

名称: 23864

链接:http://www.osvdb.org/23864

来源: OSVDB

名称: 23863

链接:http://www.osvdb.org/23863

来源: OSVDB

名称: 23862

链接:http://www.osvdb.org/23862

来源: OSVDB

名称: 23861

链接:http://www.osvdb.org/23861

来源: OSVDB

名称: 23860

链接:http://www.osvdb.org/23860

来源: OSVDB

名称: 23859

链接:http://www.osvdb.org/23859

来源: OSVDB

名称: 23858

链接:http://www.osvdb.org/23858

来源: OSVDB

名称: 23857

链接:http://www.osvdb.org/23857

来源: OSVDB

名称: 23856

链接:http://www.osvdb.org/23856

来源: OSVDB

名称: 23855

链接:http://www.osvdb.org/23855

来源: OSVDB

名称: 23854

链接:http://www.osvdb.org/23854

来源: OSVDB

名称: 23853

链接:http://www.osvdb.org/23853

来源: OSVDB

名称: 23852

链接:http://www.osvdb.org/23852

来源: OSVDB

名称: 23851

链接:http://www.osvdb.org/23851

来源: MILW0RM

名称: 6040

链接:http://www.milw0rm.com/exploits/6040

来源: VUPEN

名称: ADV-2006-0943

链接:http://www.frsirt.com/english/advisories/2006/0943

来源: VIM

名称: 20090825 @1 File Store PRO SQL injection – the old gray dupe

链接:http://www.attrition.org/pipermail/vim/2009-August/002246.html

来源: SECTRACK

名称: 1015826

链接:http://securitytracker.com/id?1015826

来源: SREASON

名称: 619

链接:http://securityreason.com/securityalert/619

来源: SECUNIA

名称: 31063

链接:http://secunia.com/advisories/31063

来源: SECUNIA

名称: 19224

链接:http://secunia.com/advisories/19224

来源: OSVDB

名称: 47018

链接:http://osvdb.org/47018

来源: OSVDB

名称: 47017

链接:http://osvdb.org/47017

来源: MISC

链接:http://evuln.com/vulns/95/summary.html