 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| Beehive论坛post.php脚本远程SQL注入漏洞 | |||||
作者:佚名 文章来源:网络 点击数: 更新时间:2007-12-8  |
|||||
Beehive Forum Beehive Forum 0.7.1不受影响系统: Beehive Forum Beehive Forum 0.8描述: BUGTRAQ ID: 26492 CVE(CAN) ID: CVE-2007-6014 Beehive Forum是用PHP编写的开源Web论坛应用。 Beehive Forum实现上存输入验证漏洞,远程攻击者可能利用此漏洞执行SQL注入攻击,非授权操作数据库获取敏感信息。 Beehive论坛的post.php脚本没有正确地过滤用户对t_dedupe变量的输入便将该变量的值包含在了SQL语句中并由@mysql_query函数执行。这个函数经过了特别的设计禁止在单个调用中使用多个SQL语句以缓解SQL注入攻击的影响,但攻击者仍可以通过t_dedupe变量操控SQL语句,从数据库获得任意数据。 <*来源:Robert Brown (robert_brown@symantec.com) 链接:http://sourceforge.net/project/shownotes.php?group_id=50772&release_id=551758 http://marc.info/?l=bugtraq&m=119671621017718&w=2 http://secunia.com/advisories/27909/ *> 建议: 厂商补丁: Beehive Forum ------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://downloads.sourceforge.net/beehiveforum/beehiveforum08.tar.gz?modtime=1196109842&big_mirror=0 |
|||||
| 文章录入:血腥魔术师 责任编辑:admin | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| 微软下周发布三个危急安全升 ISA Server SOCKS4代理连接远 "迅雷蛀虫"会入侵电脑 给用户 瑞星公司12月04日发布 每日计 微软十一月安全公告 存在两个 |
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
