安全研究
安全漏洞
Powie pforum sql插入漏洞
发布日期:2002-02-16
更新日期:2002-02-22
受影响系统:Powie PHP Forum 1.14
描述:
BUGTRAQ ID:
4114
CVE(CAN) ID:
CVE-2002-0287
pforum是采用php和mysql实现的WWW论坛。
Powie's PHP Forum 1.14易受sql插入攻击,攻击者可以未经验证获取管理员权限。
假设没有允许PHP的magic_quotes_gpc配置,用"admin' OR username='admin"做用户名进行登录。如果确实存在admin用户,攻击者将非法以admin用户身份登录,无需口令验证。如果admin用户就是管理员,攻击者将获取论坛管理权限。
修改口令的表单处存在同样漏洞。当你遗失口令后,一般通过注册时登记的Email获取一个ID,用这个ID就可以修改自己的口令。攻击者访问changepass.php,提交如下ID,"123' or 'a'='a",于是可以任意修改口令。
由于论坛管理员无法访问php.ini,也就无法简单地修补该漏洞。需要WEB Server系统管理员的帮助。注意,缺省安装后magic_quotes_gpc就是允许的。
<*来源:Jens Liebchen (
security@ppp-design.de)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-02/0173.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在php.ini中默认允许magic_quotes_gpc。
厂商补丁:
Powie
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.powie.de/pm/pmagic.php?pmagic=pforum浏览次数:2963
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |