| タイトル | Eskolar CMS における SQL インジェクションの脆弱性 |
|---|---|
| 概要 | Eskolar CMS は、以下を含む php/lib 内のファイルに関する処理に不備があるため、SQL インジェクションの脆弱性が存在します。 php/lib/ including (c) del.php (d) download_backup.php (e) navig.php (f) restore.php (g) set_12.php (h) set_14.php (i) upd_doc.php |
| 想定される影響 | 第三者により、以下のパラメータおよび php/lib 配下の del.php、download_backup.php、navig.php、restore.php、set_12.php、set_14.php、upd_doc.php の不特定の影響を介して、任意の SQL コマンドを実行される可能性があります。 (1) index.php 内の gr_1_id パラメータ (2) index.php 内の gr_2_id パラメータ (3) index.php 内の gr_3_id パラメータ (4) index.php 内の doc_id パラメータ (5) php/esa.php パラメータ内の uid パラメータ (6) php/esa.php パラメータ内の pwd パラメータ |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2006年7月21日0:00 |
| 登録日 | 2012年12月20日18:02 |
| 最終更新日 | 2012年12月20日18:02 |
| CVSS2.0 : 危険 | |
| スコア | 7.5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| eskolar cms |
| eskolar cms 0.9.0.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
2018年2月17日10:37 |
| 概要 | Multiple SQL injection vulnerabilities in Eskolar CMS 0.9.0.0 allow remote attackers to execute arbitrary SQL commands via the (1) gr_1_id, (2) gr_2_id, (3) gr_3_id, and (4) doc_id parameters in (a) index.php; the (5) uid and (6) pwd parameters in (b) php/esa.php; and possibly other vectors related to files in php/lib/ including (c) del.php, (d) download_backup.php, (e) navig.php, (f) restore.php, (g) set_12.php, (h) set_14.php, and (i) upd_doc.php. |
|---|---|
| 公表日 | 2006年7月21日23:03 |
| 登録日 | 2021年1月29日15:42 |
| 最終更新日 | 2017年10月19日10:29 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:eskolar_cms:eskolar_cms:0.9.0.0:*:*:*:*:*:*:* | |||||