PHP-Nuke存在远程SQL注入漏洞 后台数据库堪忧
日期:2012-09-06 浏览次数:20381 次
描述:
PHP-Nuke是一个广为流行的网站创建和管理工具,它可以使用很多数据库软件作为后端,比如MySQL、PostgreSQL、mSQL、Interbase、Sybase等。
PHP-Nuke的Your_Account模块实现上存在输入验证漏洞,远程攻击者可能利用此漏洞对服务器程序执行SQL注入攻击。
PHP-Nuke的Your_Account模块没有对username参数做充分的过滤检查,远程攻击者可能在此参数中插入恶意的SQL命令,从而非授权获取对后台数据库的操作。
受影响系统:
PHP-Nuke PHP-Nuke 7.8
不受影响系统:
PHP-Nuke PHP-Nuke 7.9 + patch 3.1
补丁下载:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://phpnuke.org/
PHP-Nuke是一个广为流行的网站创建和管理工具,它可以使用很多数据库软件作为后端,比如MySQL、PostgreSQL、mSQL、Interbase、Sybase等。
PHP-Nuke的Your_Account模块实现上存在输入验证漏洞,远程攻击者可能利用此漏洞对服务器程序执行SQL注入攻击。
PHP-Nuke的Your_Account模块没有对username参数做充分的过滤检查,远程攻击者可能在此参数中插入恶意的SQL命令,从而非授权获取对后台数据库的操作。
受影响系统:
PHP-Nuke PHP-Nuke 7.8
不受影响系统:
PHP-Nuke PHP-Nuke 7.9 + patch 3.1
补丁下载:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://phpnuke.org/
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
