Pixel8 Web Photo Album: SQL injection
Une SQL injection a été découverte dans le script ASP “Pixel8 Web Photo Album”. En effet, “AlpHaNiX” a découvert que ce script dans sa version 3.0 est vulnérable à une attaque de type SQL injection qui pourrait permettre à un utilisateur malveillant de faire exécuter des requêtes arbitraires. Le problème se situe au niveau du [...]
SQL injection dans Ocean12 mailing list
Une faille de type SQL injection a été découverte dans le script ASP “Ocean12 mailing list” 2.04. Le problème se situe au niveau du fichier “default.asp” qui ne filtre pas suffisamment la variable “email” avant d’intégrer sont contenu à une requête SQL. Cette faille pourrait permettre à un utilisateur malveillant de faire exécuter des requêtes [...]
Faille dans ParsBlogger
Une faille de type XSS a été découverte par “Pouya_Server” dans “ParsBlogger, un script asp. Le problème se situe au niveau du fichier “blog.asp” dans lequel les variables récupérées via la méthode GET ne sont pas suffisamment filtrées avant d’être traitées. Un utilisateur malveillant pourrait utiliser cette vulnérabilité pour par exemple détourner le contenu de [...]
Les produits de ActiveWebSoftwares non sécurisés
Une faille importante permettant de bipasser les systèmes d’identifications des produits de l’éditeur ActiveWebSoftwares a été découverte par ((?3d D3v!L)), Cyber-Zone et OffensiveTrack. Les produits suivants sont touchés: -Active Web Softwares eWebquiz 8 -Active Web Softwares ActiveVotes 2.2 -Active Web Softwares Active Websurvey 9.1 -Active Web Softwares Active Web Mail 4 -Active Web Softwares Active [...]
SQL injection dans ActiveWebSoftwares
Une faille de type SQL injection a été découverte par “((?3d D3v!L)) ” dans ActiveWebSoftware version 5.3 . Le problème se situe au niveau de la variable “AccountID” du fichier “Merchantsadd.asp” qui n’est pas suffisamment filtrée avant d’être intégrée à la requête SQL. Cette faille pourrait permettre à un utilisateur malveillant de corrompre la base [...]
ParsBlogger: SQL injection
Une faille de type SQL Injection a été découverte dans le script ASP ParsBlogger. En effet, le paramètre “id” du fichier “links.asp” n’est pas suffisamment filtré avant d’être intégré à la requête SQL. Hussin X est crédité pour cet avis de sécurité.
SQL injection dans ASPapp
Une SQL injection a été identifiée dans le script ASPapp par “Crackers_Child” au niveau du paramètre “catid” qui n’est pas suffisamment filtré avant d’être transmis à la requête SQL. Cette faille pourrait permettre à un utilisateur malveillant de faire exécuter des requêtes SQL sur le serveur hôte.
XSS dans DataSpade
DataSpade est un script ASP qui permet la gestion complètes des données via une interface Web. Un dénommé “r0t” à découvert une faille de type XSS dans DataSpade version 1.0. La faille se situe au niveau du fichier “index.asp” qui ne filtre pas correctement les données envoyées par le client, donnant ainsi la possibilité de [...]
WCMS v.1.0b: Injection SQL
L’application ASP WCMS v.1.0b est vulnérable à une SQL injection dans le fichier “news_detail.asp”, paramètre “id”. L’auteur de l’avis de sécurité joint également un exploit à ses explications, prudence donc pour les utilisateurs de ce script payant! Ce problème a été découvert par CWH Underground.