安全研究
安全漏洞
EllisLab ExpressionEngine Core多个SQL注入漏洞(CVE-2014-5387)
发布日期:2014-11-03
更新日期:2014-11-04
受影响系统:EllisLab ExpressionEngine Core <= 2.9.0
EllisLab ExpressionEngine Core
描述:
BUGTRAQ ID:
70875
CVE(CAN) ID:
CVE-2014-5387
EllisLab ExpressionEngine Core是内容管理平台。
EllisLab ExpressionEngine Core 2.9.0及之前版本在实现上存在多个sql注入漏洞,经过身份验证的用户利用此漏洞可访问敏感信息,执行未授权数据库操作。
<*来源:Jerzy Kramarz
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com /ex/system/index.php?/cp/addons_modules/show_module_cp&amp;module=comment&amp;S=d80babaf271e481ba9a8fde69dd72b28
http://www.example.com /ExpressEngine/system/index.php?/cp/content_publish/entry_form&amp;channel_id=2&amp;entry_id=3&amp;filter=YToxOntzOjEwOiJjaGFubmVsX2lkIjtzOjE6IjIiO30=&amp;S=5711f695056db582aa7427787f525d6f
建议:
厂商补丁:
EllisLab
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://ellislab.com/expressionengine
参考:
http://seclists.org/fulldisclosure/2014/Nov/2浏览次数:2051
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |