Postaci存在任意SQL命令可插入漏洞发布时间:2001-01-20 更新时间:2001-01-20 严重程度:中 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Umut Gokbayrak Postaci 1.1.3详细描述 postaci是一个免费的开放源码的WEBMAIL接口,用来多用户WEBMAIL环境和SQL数据库末端的程序。其中存在一个漏洞允许远程用户传递恶意的查询到数据库服务程序,这个漏洞一般影响PostgreSQL数据库,而不影响MYSQL的实现,它可能追加或者插入SQL命令给一个合法用户,postaci软件使用PHP和FORM的方式来传递命令到数据库,通过postaci的FORM方式传递给postgreSQL数据库允许分号的数据,可以用来追加数据库查询或者其他命令。 测试代码 尚无 解决方案 尚无 相关信息 |
