漏洞标题
N/A
漏洞描述信息
在4.2之前,GRANDCOM DynWEB在管理员登录界面中存在一个SQL注入漏洞。远程未验证的 attacker 可以利用此漏洞获取网页的管理员权限,访问用户数据库,修改网页内容并上传自定义文件。后端登录脚本未验证和清洗用户提供的字符串。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
GRANDCOM DynWEB before 4.2 contains a SQL Injection vulnerability in the admin login interface. A remote unauthenticated attacker can exploit this vulnerability to obtain administrative access to the webpage, access the user database, modify web content and upload custom files. The backend login script does not verify and sanitize user-provided strings.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
GRANDCOM DynWEB SQL注入漏洞
漏洞描述信息
GRANDCOM DynWEB是斯洛伐克GRANDCOM公司的一个内容管理系统的登录管理界面。 GRANDCOM DynWEB 4.2 之前版本存在安全漏洞,该漏洞源于后端登录脚本不会验证和清理用户提供的字符串。未经身份验证的远程攻击者利用该漏洞可以利用此漏洞获得对网页的管理访问权限、访问用户数据库、修改 Web 内容和上传自定义文件。
CVSS信息
N/A
漏洞类别
SQL注入