VDB-96287 · CVE-2017-20132 · ID 96287

Itech Multi Vendor Script 6.49 product-list.php pl SQLインジェクション

Itech Multi Vendor Script 6.49内に重大として分類された脆弱性が発見されました。この問題により影響を受けるのは、ファイル【/multi-vendor-shopping-script/product-list.php】に含まれる未知の機能です。【pl】引数を未知の値で改ざんすることが、 SQLインジェクションを突く攻撃に繋がります。この脆弱性に対応するCWEの定義は CWE-89 です。この脆弱性は 2017年01月30日に Kaan Kamisより「VulDB」の Entryにて「ID 96287」として紹介されました。アドバイザリーは vuldb.com から入手可能です。この脆弱性は CVE-2017-20132 として扱われます。攻撃はリモートで開始される場合があります。技術的詳細情報が入手可能です。さらに、入手できるエクスプロイトツールが存在します。エクスプロイトツールは一般に公開されており、悪用される可能性があります。現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。この脆弱性は、MITRE ATT&CKプロジェクトによって T1505 に割り当てられました。このエクスプロイトツールは proof-of-concept として宣言されています。エクスプロイトツールは exploit-db.com から入手可能です。 0dayにはおよそ $0-$5k の価値があったと予想しています。】のプラグインを提供しています。

フィールド	2022年06月28日 12:44	2022年11月11日 09:07	2022年11月11日 09:11
vendor	Itech	Itech	Itech
name	Multi Vendor Script	Multi Vendor Script	Multi Vendor Script
version	6.49	6.49	6.49
file	/multi-vendor-shopping-script/product-list.php	/multi-vendor-shopping-script/product-list.php	/multi-vendor-shopping-script/product-list.php
argument	pl	pl	pl
risk	2	2	2
cvss2_vuldb_basescore	6.0	6.0	6.0
cvss2_vuldb_tempscore	4.9	4.9	4.9
cvss2_vuldb_av	N	N	N
cvss2_vuldb_ci	P	P	P
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	P	P	P
cvss3_meta_basescore	6.3	6.3	7.5
cvss3_meta_tempscore	5.5	5.5	7.2
cvss3_vuldb_basescore	6.3	6.3	6.3
cvss3_vuldb_tempscore	5.5	5.5	5.5
cvss3_vuldb_av	N	N	N
cvss3_vuldb_ui	N	N	N
cvss3_vuldb_s	U	U	U
cvss3_vuldb_c	L	L	L
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	L	L	L
date	1485734400 (2017年01月30日)	1485734400 (2017年01月30日)	1485734400 (2017年01月30日)
location	VulDB	VulDB	VulDB
type	Entry	Entry	Entry
url	https://vuldb.com/?id.96287	https://vuldb.com/?id.96287	https://vuldb.com/?id.96287
identifier	ID 96287	ID 96287	ID 96287
person_name	Kaan Kamis	Kaan Kamis	Kaan Kamis
availability	1	1	1
date	1485734400 (2017年01月30日)	1485734400 (2017年01月30日)	1485734400 (2017年01月30日)
publicity	1	1	1
url	https://www.exploit-db.com/exploits/41193/	https://www.exploit-db.com/exploits/41193/	https://www.exploit-db.com/exploits/41193/
developer_name	Kaan Kamis	Kaan Kamis	Kaan Kamis
price_0day	$0-$5k	$0-$5k	$0-$5k
exploitdb	41193	41193	41193
cvss2_vuldb_ac	M	M	M
cvss3_vuldb_ac	L	L	L
cvss2_vuldb_e	POC	POC	POC
cvss2_vuldb_rl	U	U	U
cvss2_vuldb_rc	UC	UC	UC
cvss3_vuldb_e	P	P	P
cvss3_vuldb_rl	U	U	U
cvss3_vuldb_rc	U	U	U
cvss2_vuldb_au	S	S	S
cvss3_vuldb_pr	L	L	L
exploitdb_date	1485734400 (2017年01月30日)	1485734400 (2017年01月30日)	1485734400 (2017年01月30日)
cwe	89 (SQLインジェクション)	89 (SQLインジェクション)	89 (SQLインジェクション)
cve	CVE-2017-20132	CVE-2017-20132	CVE-2017-20132
responsible	VulDB	VulDB	VulDB
cve_assigned		1656367200 (2022年06月28日)	1656367200 (2022年06月28日)
cve_nvd_summary		A vulnerability was found in Itech Multi Vendor Script 6.49 and classified as critical. This issue affects some unknown processing of the file /multi-vendor-shopping-script/product-list.php. The manipulation of the argument pl leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used.	A vulnerability was found in Itech Multi Vendor Script 6.49 and classified as critical. This issue affects some unknown processing of the file /multi-vendor-shopping-script/product-list.php. The manipulation of the argument pl leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used.
cvss3_nvd_av			N
cvss3_nvd_ac			L
cvss3_nvd_pr			N
cvss3_nvd_ui			N
cvss3_nvd_s			U
cvss3_nvd_c			H
cvss3_nvd_i			H
cvss3_nvd_a			H
cvss3_cna_av			N
cvss3_cna_ac			L
cvss3_cna_pr			L
cvss3_cna_ui			N
cvss3_cna_s			U
cvss3_cna_c			L
cvss3_cna_i			L
cvss3_cna_a			L
cve_cna			VulDB
cvss3_nvd_basescore			9.8
cvss3_cna_basescore			6.3

◂ 前概要次 ▸

Do you need the next level of professionalism?

Upgrade your account now!