◆漏洞信息 MaianWeblog是一款...... 漏洞信息 Maian Weblog是一款基于WEB的日记程序。 Maian Weblog 不充分过滤用户输入数据,远程攻击者可以利用漏洞进行SQL注入获得敏感信息。 问题是'print.php'脚本对用户提交的'entry'参数缺少过滤,可提交恶意SQL查询作为参数数据,可更改原来的SQL逻辑,获得敏感信息。 另外'mail.php'脚本对'email'参数同样缺少过滤,可导致敏感信息泄露。 BUGTRAQ ID: 17247 CVE ID: CVE-2006-1334 CNCVE ID:CNCVE-20061334 漏洞消息时间:2006-03-28 漏洞起因 输入验证问题 影响系统 Maian Script World Maian Weblog 2.0 危害 远程攻击者可以利用漏洞进行SQL注入获得敏感信息。 攻击所需条件 攻击者必须访问Maian Weblog。 测试方法 http://www.example.com/print.php?cmd=log&entry=999'% 20union%20select% 201,2,3,4,5, 6/* http://www.example.com/mail.php? cmd=remove&email=111' or 1/* 厂商解决方案 目前没有解决方案提供,请关注以下链接: http://www.maianscriptworld.co.uk/ 漏洞提供者 Aliaksandr Hartsuyeu 漏洞消息链接 http://evuln.com/vulns/101/summary.html 漏洞消息标题 Maian Weblog Multiple SQL Injection Vulnerabilities |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-30 07:17 , Processed in 0.105236 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.