| Title | Crea-Book における SQL インジェクションの脆弱性 |
|---|---|
| Summary | Crea-Book には、magic_quotes_gpc が無効になっている際、SQL インジェクションの脆弱性が存在します。 本脆弱性は、CVE-2007-2000 とは異なる脆弱性です。 |
| Possible impacts | 第三者により、 admin/ 配下にある以下への (1) pseudo パラメータまたは (2) passe パラメータを介して、任意の SQL コマンドを実行される可能性があります。 (a) configurer.php (b) connect.php (c) delete.php (d) delete2.php (e) index.php (f) infos.php (g) membres.php (h) modif-infos.php (i) modif-message.php (j) modif.php (k) uninstall.php (l) uninstall_table.php |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | April 26, 2007, midnight |
| Registration Date | June 26, 2012, 3:46 p.m. |
| Last Update | June 26, 2012, 3:46 p.m. |
| CVSS2.0 : 警告 | |
| Score | 6.8 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| crea-book |
| crea-book 1.0 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年06月26日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Multiple SQL injection vulnerabilities in Crea-Book 1.0, and possibly earlier, when magic_quotes_gpc is disabled, allow remote attackers to execute arbitrary SQL commands via the (1) pseudo or (2) passe parameter to (a) configurer.php, (b) connect.php, (c) delete.php, (d) delete2.php, (e) index.php, (f) infos.php, (g) membres.php, (h) modif-infos.php, (i) modif-message.php, (j) modif.php, (k) uninstall.php, or (l) uninstall_table.php in admin/, different vectors than CVE-2007-2000. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. |
|---|---|
| Publication Date | April 27, 2007, 6:19 a.m. |
| Registration Date | Jan. 29, 2021, 2:11 p.m. |
| Last Update | Sept. 6, 2008, 6:22 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:crea-book:crea-book:*:*:*:*:*:*:*:* | 1.0 | ||||