SAP MaxDB <= 7.6.03.07 pre-auth... CVE-2008-0244 CNNVD-200801-173

10.0 AV AC AU C I A
发布: 2008-01-12
修订: 2018-10-15

MaxDB是SAP应用中广泛使用的数据库管理系统。 MaxDB在处理用户请求数据时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上执行任意命令。 如果未经认证的远程攻击者执行了show或exec_sdbinfo等特殊命令的话,MaxDB服务器就会通过system()执行cons.exe DATABASE COMMAND,而使用system()执行cons程序允许外部攻击者通过传送&&或其他方式在服务器上执行任意命令。例如,可使用以下SAP命令查看Windows上C盘的内容: exec_sdbinfo && echo dir c:\ | cmd.exe

0%
当前有2条漏洞利用/PoC
当前有1条受影响产品信息