漏洞标题
N/A
漏洞描述信息
## 漏洞概述
IMP 2.2.8及更早版本中存在多处SQL注入漏洞,远程攻击者可以通过某些数据库函数(如`db.pgsql`中的`check_prefs()`)执行未经授权的数据库操作,并可能提升权限。
## 影响版本
- IMP 2.2.8及更早版本
## 细节
攻击者可以通过某些特定的数据库函数,例如`db.pgsql`中的`check_prefs()`函数,利用这些SQL注入漏洞执行未经授权的数据库操作。具体示例包括通过`mailbox.php3`文件进行攻击。
## 影响
远程攻击者可以利用这些漏洞执行未经授权的数据库操作,并可能提升权限,从而对系统的安全造成严重威胁。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple SQL injection vulnerabilities in IMP 2.2.8 and earlier allow remote attackers to perform unauthorized database activities and possibly gain privileges via certain database functions such as check_prefs() in db.pgsql, as demonstrated using mailbox.php3.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Horde IMP数据库文件SQL注入漏洞
漏洞描述信息
IMP是一款基于Web的强大的邮件程序,它由Horde项目组开发。可使用在Linux/Unix或者Microsoft Windows操作系统下。 Horde IMP没有充分过滤用户提交传递给SQL查询的输入,远程攻击者可以利用这个漏洞进行SQL注入攻击,可能破坏数据库或获得数据库信息等其他恶意活动。 漏洞存在于数据库文件lib/db.<databasename>中的部分数据库函数,如db.pgsql中的check_prefs: $sql="select username from $default->db
CVSS信息
N/A
漏洞类别
授权问题