Программа: IpSwitch WhatsUp Professional 2005 SP1

Уязвимость позволяет удаленному
пользователю выполнить произвольные
команды в базе данных приложения.
Уязвимость существует из-за недостаточной
обработки входных данных в полях "User Name"
и "Password" на странице авторизации /NmConsole/Login.asp.
Удаленный пользователь может получить
административный доступ к приложению.

Примеры:

‘UPDATE WebUser SET sPassword=DEFAULT WHERE sUserName=’Admin’—
‘UPDATE WebUser SET nUserRightsMask=-1 WHERE sUserName=’guest’—



Оставить мнение