Vulnerabilidades De Injeção Do SQL Múltiplas no DeskPRO
-------------------------------------------------------------------------
Article reference:
http://www.securiteam.com/unixfocus/6R0052K8KM.html
SUMMARY
DeskPRO (http://www.deskpro.com) "uma escrita integrada para está administrando sua
vendas de cliente e apoio". O produto do DeskPRO usa uma máquina do SQL (MySQL) para
armazene informação.
O produto contem páginas múltiplas que fazem não adequadamente filtro nosso usuário
fornecido dados, permitindo um attacker remoto para inserir declarações do malicious SQL
dentro existir ones.DETAILS
Sistemas Vulneráveis:
* versão do DeskPRO 1.1.0 e prior
Sistemas Imunes:
* versão do DeskPRO 1.1.2

Examples:
http://vulsite.com/deskpro_v1/faq.php?cat=45'
http://vulsite.com/deskpro_v1/faq.php?article=105'
http://vulsite.com/deskpro_v1/view.php?ticketid=1'&ticket_pass=

A vulnerabilidade é melhor enfatizada pelo fato que um attacker remoto pode
logon dentro o sistema com o username de administrador sem conhecimento o
senha por entrar a seguinte informação na tela do logon:

Email: admin
Senha: 'ou''='

Resposta do Vendedor:
No 21st de Set 2003 esta questão foi relatada ao DeskPRO, o seguinte
resposta foi recebida no mesmo dia:
"Obrigado pela notificação, nós teremos um fixado dentro 24 horas. Nós
aprecie guardando a informação fora do domínio público até nós temos tido
tempo para fixar e libera um remendo."

Aviram Jenik
Beyond Security Ltd.
http://www.BeyondSecurity.com
http://www.SecuriTeam.com
Know that you're safe:
http://www.AutomatedScanning.com

Cracks's S.A