在线咨询
QQ咨询
服务热线
服务热线:13125520620
TOP

Maian Weblog多个SQL注入漏洞-数据库

发布时间:2011-11-12 浏览:5007

漏洞信息

  Maian Weblog是一款基于WEB的日记程序。

  Maian Weblog 不充分过滤用户输入数据,远程攻击者可以利用漏洞进行SQL注入获得敏感信息。

  问题是'print.php'脚本对用户提交的'entry'参数缺少过滤,可提交恶意SQL查询作为参数数据,可更改原来的SQL逻辑,获得敏感信息。

  另外'mail.php'脚本对'email'参数同样缺少过滤,可导致敏感信息泄露。

  BUGTRAQ ID: 17247

  CVE ID: CVE-2006-1334

  CNCVE ID:CNCVE-20061334

  漏洞消息时间:2006-03-28

  漏洞起因

  输入验证问题

  影响系统

  Maian Script World Maian Weblog 2.0

  危害

  远程攻击者可以利用漏洞进行SQL注入获得敏感信息。

  攻击所需条件

  攻击者必须访问Maian Weblog。

  测试方法

  http://www.example.com/print.php?cmd=log&entry=999'% 20union%20select% 201,2,3,4,5, 6/*

  http://www.example.com/mail.php? cmd=remove&email=111' or 1/*

  厂商解决方案

  目前没有解决方案提供,请关注以下链接:

  http://www.maianscriptworld.co.uk/

  漏洞提供者

  Aliaksandr Hartsuyeu

  漏洞消息链接

  http://evuln.com/vulns/101/summary.html

  漏洞消息标题

  Maian Weblog Multiple SQL Injection Vulnerabilities

TAG
软件定制,软件开发,瀚森HANSEN,辽宁,沈阳,抚顺
0
该内容对我有帮助