アイ・ディフェンス・ジャパンからの情報によると、CactuSoft社のショッピングカートソフトウェアCactuShopは、SQLクエリーの実行中ユーザーが提供するデータを適切にフィルタに掛けないため、悪用可能な状況が生み出される。攻撃者は可変catを操作してユニオン選択クエリーを実行できる。このクエリーの結果はさらに別のクエリーで用いられる。また、PT_MotherProdType変数も攻撃者の制御の対象となり、攻撃者は変数を2番目のクエリーの操作に用いることができる。このクエリーの結果はLocationBarストリングにフォーマット、格納され、ユーザーに表示される。このような脆弱性によって、攻撃者はスクリプトを用いて容易にデータベースの全ユーザーの認証情報を検索できる。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです 【04:10 GMT、12、06、2002】
