LogiSense — набор продуктов для осуществления платежей и администрирования через web интерфейс. Уязвимость обнаружена в модуле авторизации, используемом несколькими продуктами, включая Hawk-i, Hawk-i ASP и DNS Manager System. 

В модуле не фильтруются специальные символы при вводе имени пользователя и пароля. Удаленный атакующий
может ввести специальную строку, которая изменит существующий
SQL запрос и позволит войти в систему без авторизации. Пример:

В поле имя пользователя/пароль введите ‘ OR »=’. 

Уязвимость обнаружена в LogiSense DNS Manager System, Hawk-i 5.2, Hawk-i ASP.

Оставить мнение