安全研究
安全漏洞
PHPCatalog ID参数SQL注入漏洞
发布日期:2003-12-29
更新日期:2004-01-05
受影响系统:SILICONSYS PHPCatalog 2.6.9
SILICONSYS PHPCatalog 2.6.8
SILICONSYS PHPCatalog 2.6.7
不受影响系统:SILICONSYS PHPCatalog 2.6.10
描述:
BUGTRAQ ID:
9318
PHPCatalog是一款基于WEB的目录程序。
PHPCatalog对用户提交的URI参数缺少充分过滤,远程攻击者可以利用这个漏洞进行SQL注入攻击,可获得敏感信息或者修改数据库。
问题是程序对"id"的参数缺少充分过滤,提交包含恶意SQL命令的数据作为参数数据,可修改原有的数据库逻辑,结果可导致获得敏感信息或者修改数据库。
<*来源:David S. Ferreira
链接:
http://www.secunia.com/advisories/10516/
*>
建议:
厂商补丁:
SILICONSYS
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载升级到phpcatalog 2.6.10:
http://www.siliconsys.com/content/applications/phpcatalog/浏览次数:3676
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |