漏洞标题
N/A
漏洞描述信息
在 Enigma Haber 4.3 和更早版本中存在多个 SQL 注入漏洞,允许远程攻击者通过 (1) e_mesaj_yas.asp,(b) edi_haber.asp 和 (c) haber_devam.asp 中的 id 参数执行任意 SQL 命令;(2) yazdir.asp 和 yorum.asp 中的 hid 参数,以及 (f) arsiv.asp 中的 (3) e 参数。注意:在管理员身份下,存在其他路径,包括 (4) yid 参数发送到 (g) admin/y_admin.asp,(5) bid 参数发送到 (h) admin/reklam_detay.asp, hid 参数发送到 (i) admin/detay_yorum.asp 和 (j) admin/haber_sil.asp,(6) kid 参数发送到 (k) admin/kategori_d.asp,(7) tur 参数发送到 (l) admin/haber_ekle.asp,(8) s 参数发送到 (m) admin/e_mesaj_yaz.asp,以及 id 参数发送到 (n) admin/admin_sil.asp。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple SQL injection vulnerabilities in Enigma Haber 4.3 and earlier allow remote attackers to execute arbitrary SQL commands via the (1) id parameter in (a) e_mesaj_yas.asp, (b) edi_haber.asp, and (c) haber_devam.asp; (2) hid parameter in (d) yazdir.asp and (e) yorum.asp, and the (3) e parameter in (f) arsiv.asp. NOTE: with administrator credentials, additional vectors exist including (4) yid parameter to (g) admin/y_admin.asp, (5) bid parameter to (h) admin/reklam_detay.asp, hid parameter to (i) admin/detay_yorum.asp and (j) admin/haber_sil.asp, (6) kid parameter to (k) admin/kategori_d.asp, (7) tur parameter to (l) admin/haber_ekle.asp, (8) s parameter to (m) admin/e_mesaj_yaz.asp, and id parameter to (n) admin/admin_sil.asp.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Enigma Haber 多个SQL注入漏洞
漏洞描述信息
Enigma Haber 存在多个SQL注入漏洞,远程攻击者可通过在(a)e_mesaj_yas.asp,(b)edi_haber.asp和(c)haber_devam.asp中的(1)id参数;在(d)yazdir.asp和(e)yorum.asp中(2)hid参数和在(f)arsiv.asp中的e参数来执行任意SQL命令。注意:带管理员证书,还包含其它向量:传给(g)admin/y_admin.asp的(4)yid参数,传给(h)admin/reklam_detay.asp的(5)bid参数,传给(i
CVSS信息
N/A
漏洞类别
SQL注入