漏洞标题
N/A
漏洞描述信息
BQE BillQuick Web Suite 2018 至 2021 年 22.0.9.1 前允许无身份验证的远程代码执行,如 2021 年 10 月在野外被用于安装勒索软件的漏洞。SQL 注入可以,例如,使用 txtID(也称为用户名)参数。成功利用可能包括通过 xp_cmdshell 执行任意代码的能力。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
BQE BillQuick Web Suite 2018 through 2021 before 22.0.9.1 allows SQL injection for unauthenticated remote code execution, as exploited in the wild in October 2021 for ransomware installation. SQL injection can, for example, use the txtID (aka username) parameter. Successful exploitation can include the ability to execute arbitrary code as MSSQLSERVER$ via xp_cmdshell.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
BEQ BillQuick Web Suite SQL注入漏洞
漏洞描述信息
BEQ BillQuick Web Suite是美国BEQ公司的一个时间和计费系统。 BQE BillQuick Web Suite 存在SQL注入漏洞,该漏洞源于 BQE BillQuick Web Suite 2018 到 2021 允许 SQL 注入用于未经身份验证的远程代码执行,如 2021 年 10 月在野外被利用以安装勒索软件。 例如,SQL 注入可以使用 txtID(又名用户名)参数。 成功的利用可能包括通过 xp_cmdshell 以 MSSQLSERVER$ 形式执行任意代码的能力。
CVSS信息
N/A
漏洞类别
SQL注入