bttlxeForum login.asp 多个字段 SQL 注入
high Nessus 插件 ID 11548
语言:
简介
远程主机上正在运行的 Web 应用程序存在 SQL 注入漏洞。描述
远程主机正在运行 bttlxeForum,这是一组专门用于在 Windows 上运行基于论坛的 Web 服务器的 CGI。远程服务器中存在一个 SQL 注入错误,该错误允许 Nessus 通过在 POST 请求中提供密码“or id=”,以作为“管理员”身份登录。
远程攻击者可能会利用此缺陷查看和更改数据库中的敏感信息。
解决方案
应用供应商公告中提及的修补程序。另见
插件详情
严重性: High
ID: 11548
文件名: bttlxe_sql_injection.nasl
版本: 1.32
类型: remote
系列: CGI abuses
发布时间: 2003/4/24
最近更新时间: 2021/1/19
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.6
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.2
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
必需的 KB 项: www/ASP
排除的 KB 项: Settings/disable_cgi_scanning
可利用: true
易利用性: No exploit is required
漏洞发布日期: 2003/4/24
参考资料信息
CVE: CVE-2003-0215
BID: 7416