| Summary | Multiple SQL injection vulnerabilities in Avanset Visual CertExam Manager 3.3 and earlier allow remote authenticated users to execute arbitrary SQL commands via the (1) Title, (2) File name, or (3) Candidate Name field. |
|---|---|
| Publication Date | Jan. 24, 2014, 1:38 p.m. |
| Registration Date | Jan. 26, 2021, 3:49 p.m. |
| Last Update | Nov. 21, 2024, 11 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 6.5 |
|---|---|
| Vector | AV:N/AC:L/Au:S/C:P/I:P/A:P |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 単一 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | 低 |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:avanset:visual_certexam_manager:2.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:2.4.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:2.8.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:3.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:2.4.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:2.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:2.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:3.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:3.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:3.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:2.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:*:*:*:*:*:*:*:* | 3.3 | ||||
| cpe:2.3:a:avanset:visual_certexam_manager:2.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:2.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:2.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:avanset:visual_certexam_manager:3.2.1:*:*:*:*:*:*:* | |||||
| Title | Avanset Visual CertExam Manager に SQL インジェクションの脆弱性 |
|---|---|
| Summary | Avanset が提供する Visual CertExam Manager には、SQL インジェクション (CWE-89) の脆弱性が存在します。 CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') http://cwe.mitre.org/data/definitions/89.html |
| Possible impacts | ユーザによって、本来アクセスできないデータベースの情報を閲覧されたり、変更されたりする可能性があります。 |
| Solution | 2014年1月24日現在、対策方法は不明です。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 ・ アクセスを制限する |
| Publication Date | Jan. 23, 2014, midnight |
| Registration Date | Jan. 27, 2014, 11:16 a.m. |
| Last Update | Jan. 27, 2014, 11:16 a.m. |
| Avanset |
| Visual CertExam Manager 3.3 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年01月27日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |