关键漏洞信息 基本信息 漏洞名称: Cezanne SW Blind SQL Injection 公告日期: 2008.04.27 CVE ID: CVE-2008-1968 CWE ID: CWE-89 风险等级: Medium CVSS评分 CVSS Base Score: 6.10 Impact Subscore: 6.4/10 Exploitability Subscore: 6.8/10 漏洞详情 受影响版本: Cezanne 7 测试环境: MS Windows Server 2003 Enterprise Edition, IIS 6.0, MS SQL Server 2005 漏洞描述: 通过 参数在Cezanne 7中注入SQL代码,允许在应用服务器上执行SQL代码。 - 示例请求: - 进一步信息或创建表: 利用漏洞可能的结果: - 识别数据库用户的权限级别。 - 在MS SQL Server 2005中,若 被启用,可以执行命令行指令。 解决方案 变通方案: 和Cezanne Software联系,详见: http://www.cezannesw.com/ 致谢与研究人员 发现与研究: - Juan de la Fuente Costa S21Sec - Fco Javier Puerta Rubio S21Sec 特别感谢: Vicente Diaz Saez