漏洞标题
N/A
漏洞描述信息
**争议**
X-Cart Gold和Pro 4.0.18,以及X-Cart 4.1.0 beta 1中的搜索.php中的SQL注入漏洞,允许远程攻击者通过“搜索模式”字段执行任意SQL命令,当设置仅指定“详细描述中的搜索”和“ISBN中的搜索”时。
注:供应商在原始研究者的 blog 上提出了这个问题,表示“ bug 没有带来任何安全威胁,远程攻击者无法通过向搜索.php 脚本发送特殊的SQL语句,使用各种搜索参数来添加、修改或删除后端数据库中的信息。”到20060605为止,原始博客文章无法访问,尽管ISS也报告了相同的争议。CVE 无法进一步调查这个问题,尽管研究者有时发表不准确的说法。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
SQL injection vulnerability in search.php in X-Cart Gold and Pro 4.0.18, and X-Cart 4.1.0 beta 1, allows remote attackers to execute arbitrary SQL commands via the "Search for pattern" field, when the settings specify only "Search in Detailed description" and "Search also in ISBN." NOTE: the vendor disputed this issue in a comment on the original researcher's blog, saying "the bug does not impose any security threat and remote attackers can't add, modify, or delete information in the back-end database by sending specially-crafted SQL statements to the search.php script using various search parameters." As of 20060605, the original blog entry is unavailable, although ISS also reports the same dispute. CVE has not been able to investigate this issue further, although the researcher sometimes makes inaccurate claims
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
X-Cart Gold/Pro/X-Cart search.php SQL注入漏洞
漏洞描述信息
** 争议 ** X-Cart Gold和Pro 4.0.18、X-Cart 4.1.0 beta 1中的search.php存在SQL注入漏洞,远程攻击者可通过当设置指定只"在详细描述中搜索"和"也在ISBN内搜索"时的"搜索模式"字段,来执行任意SQL命令。 注:厂商在初始研究者的博克上发布评论对此问题提出争议,指出"此问题不会产生任何安全威胁,远程攻击者不能通过发送特制SQL语句给使用各种搜索参数的search.php来添加、修改或删除后台数据库的信息。"至20060605其,原始博克内容不可访问,
CVSS信息
N/A
漏洞类别
SQL注入