安全研究
安全漏洞
PHPNuke 插入SQL语句漏洞
发布日期:2001-07-28
更新日期:2001-08-02
受影响系统:
Francisco Burzi PHP Nuke 4.4
Francisco Burzi PHP Nuke 4.0
Francisco Burzi PHP-Nuke 5.0.1
Francisco Burzi PHP-Nuke 5.0
Francisco Burzi PHP-Nuke 4.4.1a
Francisco Burzi PHP-Nuke 4.3
Francisco Burzi PHP-Nuke 3.0
Francisco Burzi PHP-Nuke 2.5
Francisco Burzi PHP-Nuke 1.0
描述:
BUGTRAQ ID : 3114
PHP-Nuke是一个使用PHP开发的web站点创建和维护工具。
它所带的某些脚本没有正确检查用户输入。可能允许攻击者在变量中插入SQL语句。
这可能导致改变脚本的预期行为,泄漏数据库信息或者造成其他进一步的危害。
目前已知有问题的脚本是'reviews.php'
<*来源:David Page (
david@melaniepage.worldonline.co.uk) *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://target/reviews.php?id=12345 or ........
建议:
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本:
http://www.ncc.org.ve/php-nuke.php3?op=english
浏览次数:4357
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |