安全研究
安全漏洞
PostNuke Phoenix Member_List模块SQL注入漏洞
发布日期:2003-03-07
更新日期:2003-03-13
受影响系统:PostNuke Development Team PostNuke Phoenix 0.723
PostNuke Development Team PostNuke Phoenix 0.722
描述:
BUGTRAQ ID:
7047
PostNuke是一款类似PHP-Nuke的PHP语言编写流行的系统构建程序,可以运行在Unix和Linux操作系统下。
PostNuke Phoenix的Members_List模块对用户提交的输入缺少充分过滤,远程攻击者可以利用这个漏洞破坏数据库或获得敏感信息。
攻击者提交包含恶意SQL命令的查询给Members_List模块,可导致修改原来的SQL逻辑,使的数据库中的敏感信息泄露,或数据库被破坏。
<*来源:pokleyzz (
pokleyzz@scan-associates.net)
*>
建议:
厂商补丁:
PostNuke Development Team
-------------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
PostNuke Patch 723_sec_20030228.zip
http://download.hostnuke.com/pafiledb.php?action=file&id=17浏览次数:2719
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
