PT-2004-2461 · Aspwebalbum · Aspwebalbum

Publicado

2004-12-31

Atualizado

2017-10-11

CVE-2004-1553

CVSS v2.0

7.5

Alta

Vetor

AV:N/AC:L/Au:N/C:P/I:P/A:P

Name of the Vulnerable Software and Affected Versions aspWebAlbum version 3.2

Description The issue allows remote attackers to execute arbitrary SQL statements. This can be achieved via two methods:

the username field on the login page,
or the cat parameter to "album.asp". Specifically, the txtUserName parameter in a "processlogin" action to "album.asp" is involved, as reachable from the "login" action.

Recommendations For aspWebAlbum version 3.2, consider restricting access to the "album.asp" page and avoid using the txtUserName parameter in the "processlogin" action until a fix is available. As a temporary workaround, restrict the use of the cat parameter to minimize the risk of exploitation.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2004-1553

Produtos afetados

Aspwebalbum

PT-2004-2461 · Aspwebalbum · Aspwebalbum

CVE-2004-1553

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 12