martes, 3 de septiembre de 2002

Múltiples vulnerabilidades en Facto System CMS

Facto System CMS se ve afectado por múltiples vulnerabilidades que
podrían permitir la inyección de código.

Facto es un sistema dinámico de publicación en web, se utiliza para
la creación de sitios web personales o de grupos "blog". Se desarrolla
íntegramente en ASP y puede utilizar Microsoft Acces o SQL Server para
acceso a base de datos.

Un atacante podría introducir instrucciones SQL, y estas no verían
verificadas la validez de los datos numéricos, impidiendo procesar
correctamente determinadas secuencias de caracteres.

Los problemas están en el tratamiento de las variables "authornumber"
(en author.asp), y "discussblurbid" (en discuss.asp), y en las variables
de formulario "name" y "email" (en holdcomment.asp).



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Facto System CMS Contains Multiple Vulnerabilities
http://www.securiteam.com/windowsntfocus/5QP0V0A80A.html


Etiquetas:

1 comentario:

  1. Unknown6 de octubre de 2016 a las 16:44

    Buenas! como podriamos resolver la vulnerabilidad? hay solución? Gracias!

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017