製品・ソフトウェアに関する情報
Vulnerability Search
Ripe Website Manager における SQL インジェクションの脆弱性
Title Ripe Website Manager における SQL インジェクションの脆弱性
Summary

Ripe Website Manager には、SQL インジェクションの脆弱性が存在します。

Possible impacts リモート認証されたユーザにより、以下の 1 つ以上のパラメータを介して、任意の SQL コマンドを実行される可能性があります。 (1) admin/ 配下の pages/delete_page.php、admin/ 配下の navigation/delete_menu.php および admin/ 配下の navigation/delete_item.php への id パラメータ (2) admin/navigation/do_new_item.php の menu_id パラメータ (3) admin/navigation/do_new_item.php の name パラメータ (4) admin/navigation/do_new_item.php の page_id パラメータ (5) admin/navigation/do_new_item.php の url パラメータ (6) admin/navigation/do_new_nav.php の new_menuname パラメータ (7) admin/pages/do_new_page.php への area1 パラメータ、name パラメータ、および url パラメータ
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date Aug. 24, 2007, midnight
Registration Date Dec. 20, 2012, 6:33 p.m.
Last Update Dec. 20, 2012, 6:33 p.m.
CVSS2.0 : 警告
Score 6
Vector AV:N/AC:M/Au:S/C:P/I:P/A:P
Affected System
ripe website manager
ripe website manager 0.8.9 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年12月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2007-4522
Summary

Multiple SQL injection vulnerabilities in Ripe Website Manager 0.8.9 and earlier allow remote authenticated users to execute arbitrary SQL commands via one or more of the following vectors: the (1) id parameter to (a) pages/delete_page.php, (b) navigation/delete_menu.php, and (c) navigation/delete_item.php in admin/; the (2) menu_id, (3) name, (3) page_id, and (4) url parameters in (d) admin/navigation/do_new_item.php; the (5) new_menuname parameter in (e) admin/navigation/do_new_nav.php; and (6) area1, name, and url parameters to (f) admin/pages/do_new_page.php. NOTE: some vectors might be reachable through the url and name parameters to (g) admin/navigation/new_nav_item.php. NOTE: the original disclosure does not precisely state which vectors are associated with SQL injection versus XSS.

Summary

Múltiples vulnerabilidades de inyección SQL en Ripe Website Manager 0.8.9 y versiones anteriores permite a usuarios remotos autenticados ejecutar comandos SQL de su elección mediante uno o mas de los siguientes vectores: 1) parámetro id en (a) pages/delete_page.php, (b) navigation/delete_menu.php, y (c) navigation/delete_item.php en admin/; parámetros (2) menu_id, (3) name, (3) page_id, y (4) url en (d) admin/navigation/do_new_item.php; parámetro (5) new_menuname en (e) admin/navigation/do_new_nav.php; y (6) parámetro2 area1, name, y url en (f) admin/pages/do_new_page.php.
NOTA: algunos vectores podrían ser alcanzables a través de los parámetros url y name.
NOTA: La información original no señala con precisión qué vectores se asocian a una iyección SQL frente a XSS.

Publication Date Aug. 25, 2007, 9:17 a.m.
Registration Date Jan. 29, 2021, 2:18 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:ripe_website_manager:ripe_website_manager:0.8.4:*:*:*:*:*:*:*
cpe:2.3:a:ripe_website_manager:ripe_website_manager:0.8.9:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List