Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
securityvulnsSecurityvulnsSECURITYVULNS:DOC:28243
HistoryJul 09, 2012 - 12:00 a.m.

Уязвимости в LIOOSYS CMS

2012-07-0900:00:00
vulners.com
13
JSON

Здравствуйте 3APA3A!

Сообщаю вам о SQL Injection и Information Leakage уязвимостях в LIOOSYS CMS. Это польская коммерческая CMS.

SQL Injection (WASC-19):

http://site/index.php?id=-1%20union%20select%201,version(),3,4,5/*

Information Leakage (WASC-13):

http://site/_files_/db.log

Утечка лога ошибок запросов к БД. Это может использоваться как для получения данных о структуре БД, так и при проведении SQL Injection атак (потому что сообщения об ошибках не выводятся на страницы сайта).

Уязвимы все версии системы, кроме последней, выпущенной разработчиками после моего уведомления. Где они исправили данные уязвимости в своей CMS.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/5885/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua

JSON