漏洞标题
N/A
漏洞描述信息
IBM Informix Web DataBlade 4.12 即使在应用程序已解雇了用户输入,仍解雇了用户输入,这可能导致远程攻击者在网络表单中执行SQL代码,即使开发人员已经尝试了解雇它。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
IBM Informix Web DataBlade 4.12 unescapes user input even if an application has escaped it, which could allow remote attackers to execute SQL code in a web form even when the developer has attempted to escape it.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
IBM Informix Web DataBlade SQL查询语句HTML条目自动解码漏洞
漏洞描述信息
Informix是由IBM发布和维护的企业级数据库产品,其中Informix Web DataBlade是连接Informix数据库和Web服务器的接口。 Informix Web DataBlade在对HTML编码的字符串处理存在漏洞,可导致远程攻击者以informax进程执行任意SQL查询语句,造成数据库破坏等攻击。 HTML编码的字符串当使用在SQL查询中会自动解码,开发者一般会使用$(WEBUNHTML)来检查所有用户输入,WDB会使用$(WEBUNHTML)函数来转换<>"&字符为HTML条目,
CVSS信息
N/A
漏洞类别
授权问题