PT-2009-4783 · Nulllogic · Nulllogic Groupware

Tim Brown

Publicado

2009-07-07

Atualizado

2018-10-10

CVE-2009-2354

CVSS v2.0

7.5

Alta

Vetor

AV:N/AC:L/Au:N/C:P/I:P/A:P

Name of the Vulnerable Software and Affected Versions NullLogic Groupware version 1.2.7

Description The issue allows remote attackers to execute arbitrary SQL commands via the username parameter in the login page. This is due to a SQL injection vulnerability in the auth checkpass function.

Recommendations For NullLogic Groupware version 1.2.7, consider restricting access to the login page until a patch is available. As a temporary workaround, avoid using the username parameter in the affected login page endpoint.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2009-2354

Produtos afetados

Nulllogic Groupware

PT-2009-4783 · Nulllogic · Nulllogic Groupware

CVE-2009-2354

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 4