安科网

CubeCart “char”参数SQL注入漏洞

智行晓东

智行晓东

2016-03-31

关注 关注
CubeCart "char"参数SQL注入漏洞


发布日期:2016-03-28
更新日期:2016-03-31

受影响系统:

CubeCart CubeCart < 6.0.10

描述:

CVE(CAN) ID:  

CubeCart是开源的购物软件。

CubeCart 6.0.10及之前版本存在sql注入漏洞,位于"/admin.php" PHP脚本中"char" HTTP GET参数内。远程攻击者可更改sql查询、注入并执行任意sql命令。

<*来源:High-Tech Bridge Security Research Lab
 
 
  链接:http://seclists.org/bugtraq/2016/Mar/203
*>

建议:

厂商补丁:

CubeCart
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://www.cubecart.com/

char sql注入 注入漏洞

智行晓东

智行晓东

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

Node.js利用Express实现用户注册登陆功能(推荐)

首先在Win10上安装Mysql,一路Next就行。安装完成使用SQLyog连接MySQL Server。连接成功需要创建数据库和数据表。<a href="./register.html" rel="external n

ILVNMM 2020-10-26

libcurl CURLOPT_WRITEFUNCTION 回调函数多次触发导致数据错乱的问题

记录一下自己犯的错误,回调函数本身就会提供数据大小,自己算反而出了问题。

PinkBean 2020-08-19

oracle 日期操作语句总结

SELECT TO_CHAR AS YEAR FROM DUAL--查询当前年份。SELECT TO_CHAR AS MONTH FROM DUAL--获取当前日期的'YYYY/MM/DD'格式:2020/01/02. SELECT TO_CHAR AS

Seandba 2020-08-16

C语言之数据类型①——整数类型

  数据溢出,是把高位舍弃还是低位舍弃?x的宽度为: 0000 0000 ,由于最高位是符号位,所以当存储正数时x存储范围是0-127;当存储的值是负数时,存储的范围就是-128--1. 对于计算机来说,有符号数与无符号数存储时是没有什么区别的,如int

徐建岗网络管理 2020-07-28

c语言实现变种 replace()

函数fun将字符串s中第一次出现的子字符串t1替换成字符串t2,替换后的新串放在w所指的数组中,要求t1和t2所指向的字符串长度相同。数组中的内容应为"cccdab"。程序有多处错误,请在答题框中写出错误的行号和修改后的内容。

lynjay 2020-06-14

C语言字符串处理函数(转)

字符串是一种重要的数据类型,有零个或多个字符组成的有限串行。子序列则不要求字符连续,但顺序要与主串保持一致,若有"abcd"与"ad"则两者的最长公共子序列为"ad"。注意到通过字符数组初始化和字

AaronPlay 2020-06-13

Windows 程序设计(三)关于字符串

C语言/C++语言,使用的字符串指针就是 char* 类型,C++中的字符串是 string,内部也是对 char* 的封装。操作系统的国际化,比如:Windows 系统不仅有英文的,也有中文的,韩文的,日文的,所以原来用一个 char 来表示一个英文字符

88384957 2020-06-12

MySQL内置函数-单行函数(进制换算函数)

mysql> select conv; --意思就是 将16进制的‘a’转换成2进制的。char返回由参数n,...对应的ascii代码字符组成的一个字串

herohope 2020-06-10

【LevelDB源码阅读】Arena

内存分配管理器,主要为skiplist即Memtable服务而不是整个项目。申请内存时,将申请到的内存直接放入vector中,在Arena的生命周期结束后,统一释放掉所有申请的内存,内部结构如下图:。避免内存碎片,skiplist里面记录的都是用户传进来的

adwen00 2020-06-09

C语言实现程序自删除

创建一个批处理文件,然后在程序最后创建新的进程延时一段时间后来执行这个批处理文件来删除该程序,并利用批处理命令“del %0”来删除批处理文件自身。char cmd_code[1024] = "@echo off\ntimeout -t 1 \n

KilluaZoldyck 2020-06-06

数据库基础知识

在建立数据库表结构的时候,为了给一个String类型的数据定义一个数据库的数据库类型,一般参考的都是char或者varchar,这两种选择有时候让人很纠结,今天想总结一下它们两者的区别,明确一下选择塔门的理由。MySQL支持多种类型,大致可以分为三类:数值

hitxueliang 2020-06-05

嵌入式软件必学知识总结!

  2.strlen和sizeof区别。  sizeof是算符,strlen是函数。  strlen指字符的长度,char a[20]="you are a",strlen=9,sizeof=20;sizeof指文件或者数据占的内存(字

lightindark 2020-06-03

嵌入式软件必学知识总结!

  2.strlen和sizeof区别。  sizeof是算符,strlen是函数。  strlen指字符的长度,char a[20]="you are a",strlen=9,sizeof=20;sizeof指文件或者数据占的内存(字

baishuwei 2020-06-03

mysql多个字段模糊查询是否包含某个词

) COLLATE utf8_general_ci LIKE ‘%替换关键词%‘;

weiguoxin 2020-06-02

Django ORM中常用字段和参数

表myapp_person的名称是自动生成的,如果你要自定义表名,需要在model的Meta类中指定db_table参数,强烈建议使用小写表名,特别是使用MySQL作为后端数据库时。id字段是自动添加的,如果你想要指定自定义主键,只需在其中一个字段中指定p

jediaellu 2020-05-31

C语言指针学习

例如char* a , b;//其实是定义指针a,和char型变量b。因为指针a到底指向哪里,我们不知道。随便改变这个地址的值,可能导致一些有用的数据被「莫名其妙地修改」。

twater000 2020-05-29

sql必知必会第四版建表语句

------------------------ Define primary keys----------------------ALTER TABLE Customers ADD PRIMARY KEY ;ALTER TABLE OrderItems

ItBJLan 2020-05-11

MySQL常用语法

create database choose character set=utf8; //windows下改为CREATE DATABASE choose CHARSET = utf8;# 外键 constraint 约束名 foreign key

韩学敏 2020-05-09

c语言标准io库

C语言标准IO库常用函数

NewActivity 2020-05-08

最全MySQL面试60题和答案

Mysql中有哪几种锁?Mysql中有哪些不同的表格?支持表级锁,即每次操作是对整个表加锁;采用菲聚集索引,索引文件的数据域存储指向数据文件的指针。支持ACID的事务,支持事务的四种隔离级别;MyISAM Static在受损情况下更容易恢复。

阿亮 2020-05-06
智行晓东

智行晓东

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号