PHP-Nuke多个SQL指令注入漏洞发布时间:2003-03-31 更新时间:2003-03-31 严重程度:高 威胁程度:控制应用程序系统 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:7031 受影响系统 Francisco Burzi PHP-Nuke 6.0详细描述 PHP-Nuke的'Members_List'和'Your_Account'模块存在多个SQL指令注入漏洞,由于没有对用户的输入做充分的过滤而用来构造SQL查询语句,远程入侵者可以利用这个问题把恶意的数据输入到SQL的查询语句中,从而更改SQL的查询逻辑,通过恶意操作数据库控制PHP-Nuke Web系统,也可能造成其他的攻击。 解决方案 厂商还未提供解决方案,临时解决方案是打开PHP配置文件中的'magic_quotes_gpc'选项。 相关信息 "Frog Man" <leseulfrog@hotmail.com> PHP-Nuke 6.0 (& 6.5?) : Serious SQL Injection Security Holes http://archives.neohapsis.com/archives/bugtraq/2003-03/0105.html |
