发布日期：2003-03-07
更新日期：2003-03-13

受影响系统：

PostNuke Development Team PostNuke Phoenix 0.723
PostNuke Development Team PostNuke Phoenix 0.722

描述：

---

BUGTRAQ  ID: 7047

PostNuke是一款类似PHP-Nuke的PHP语言编写流行的系统构建程序，可以运行在Unix和Linux操作系统下。

PostNuke Phoenix的Members_List模块对用户提交的输入缺少充分过滤，远程攻击者可以利用这个漏洞破坏数据库或获得敏感信息。

攻击者提交包含恶意SQL命令的查询给Members_List模块，可导致修改原来的SQL逻辑，使的数据库中的敏感信息泄露，或数据库被破坏。

<*来源：pokleyzz （pokleyzz@scan-associates.net）
  *>

建议：

---

厂商补丁：

PostNuke Development Team
-------------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

PostNuke Patch 723_sec_20030228.zip
http://download.hostnuke.com/pafiledb.php?action=file&id=17

浏览次数：2735
严重程度：0（网友投票）