ADOdb server.php sql 參數 SQL 注入攻擊

語系：

遠端 Web 伺服器中有一個 PHP 指令碼受到 SQL 注入攻擊瑕疵影響。

遠端主機正在執行 ADOdb，這是一個適用於 PHP 的資料庫提取程式庫。

安裝的 ADOdb 版本包含一個名為「server.php」的測試指令碼，其未清理「sql」參數的使用者輸入資料便將它用於資料庫查詢。攻擊者可利用此問題對底層資料庫發動 SQL 注入攻擊。

移除測試指令碼或為 MySQL 設定 root 密碼。

嚴重性: High

ID: 20385

檔案名稱: adodb_sql_sql_injection.nasl

版本: 1.26

類型: remote

系列: CGI abuses

已發布: 2006/1/10

已更新: 2022/4/11

組態: 啟用徹底檢查

支援的感應器: Nessus

風險因素: Medium

分數: 6.6

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

排除在外的 KB 項目: Settings/disable_cgi_scanning

可被惡意程式利用: true

可輕鬆利用: No exploit is required

弱點發布日期: 2006/1/9

CVE: CVE-2006-0146

BID: 16187

CWE: 89