PHPFreeNews searchresults.php多个SQL注入漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2005-08-20
PHPFreeNews searchresults.php多个SQL注入漏洞 发布日期:2005-08-19
更新日期:2005-08-19

受影响系统:
PHPFreeNews PHPFreeNews 1.40
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 14589

PHPFreeNews是一款免费的PHP脚本,允许用户显示站点的新闻头条和文章。

PHPFreeNews中存在多个SQL注入漏洞,起因是没有正确的过滤用户输入。安全者可以利用这些漏洞在基础数据库系统中执行任意代码。

<*来源:matrix_killer (matrix_k@abv.bg)
        h4cky0u (h4cky0u@gmail.com)
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112439254700016&w=2
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有安全性,仅供安全研究与教学之用。使用者风险自负!

http://www.site.com/phpfn/SearchResults.php?Match=’&NewsMode=1&SearchNews=Search&CatID=0
http://www.site.com/phpfn/SearchResults.php?Match=1&NewsMode=1&SearchNews=Search&CatID=’
http://www.site.com/phpfn/SearchResults.php?Match=%27&NewsMode=1&SearchNews=Search&CatID=0
http://www.site.com/phpfn/SearchResults.php?Match=1&NewsMode=1&SearchNews=Search&CatID=%27

建议:
--------------------------------------------------------------------------------
厂商补丁:

PHPFreeNews
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.phpfreenews.co.uk/

上一篇:微软microsoft.com存在注入漏洞(图)
下一篇:PHPXMLRPC及PEAR XML_RPC远程代码注入漏洞

最近更新

随机推荐