Timeclock Software ‘login_action.php’ SQL注入漏洞

漏洞起因
输入验证错误
危险等级
低

影响系统
Timeclock Software 0.99

不受影响系统

危害
远程攻击者可以利用漏洞获得敏感信息或操作数据库。

攻击所需条件
攻击者必须访问Timeclock Software。

漏洞信息
Timeclock Software是一款企业时间管理软件。
Timeclock Software存在输入验证漏洞，远程攻击者可以利用漏洞进行SQL注入攻击，获得敏感信息或操作数据库。
传递给auth.php和login_action.php脚本"username"和"password参数在用于SQL查询时缺少充分过滤，可注入任意SQL代码执行SQL注入攻击。

测试方法

厂商解决方案
目前没有详细解决方案提供：
http://timeclock-software.net/

漏洞提供者
Secunia Research

← Timeclock Software ‘mysqldump’本地信息泄漏漏洞

XnView DICOM图像处理整数溢出漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

Timeclock Software ‘login_action.php’ SQL注入漏洞

0 条评论。

发表评论