漏洞信息详情
CafeLog b2 Weblog工具存在多个漏洞漏洞
- CNNVD编号:CNNVD-200304-124
- 危害等级: 高危
- CVE编号: CVE-2002-1465
- 漏洞类型: 输入验证
- 发布时间: 2002-08-14
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: cafelog
- 漏洞来源: Matthew Murphy※ ma...
漏洞简介
\"b2\"是由CafeLog开发的一款WEB日志工具。 \"b2\" WEB日志工具存在多个漏洞,远程攻击者可以利用这个漏洞进行命令执行、数据库操作、跨站脚本执行攻击。 \"b2\" WEB日志工具存在多个变量作为HTML属性数据返回到客户端WEB浏览器时没有进行正确检查,可导致攻击者进行跨站脚本执行攻击。 \"b2\" WEB日志工具中多处引用\"tableposts\"变量时没有过滤,如果系统没有设置\"magic_quotes_gpc\"为\"on\"的情况下,可导致SQL插入攻击,不过由于PHP mysql_query()函数会报告错误,可防止多次查询而减低危害程度。 \"b2\" WEB日志工具中的\"b2inc\"变量作为包含文件的路径来使用,攻击者可以在自己控制的服务器上放置b2functions.php文件,并调用这个变量而导致在系统上以WEB用户执行任意命令或者导致系统文件内容泄露。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* SQL插入漏洞:
在Php.ini文件中设置magic_quotes_gpc为On.
* 命令执行漏洞:
在Php.ini文件中设置allow_url_fopen为Off,
* 跨站脚本执行攻击:
在传递用户输入时使用HTMLspecialchars(),HTMLentities()进行过滤。 厂商补丁: Cafelog ------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.cafelog.com/
参考网址
来源: BID 名称: 5456 链接:http://www.securityfocus.com/bid/5456 来源: BUGTRAQ 名称: 20020813 Multiple Vulnerabilities in CafeLog Weblog Package 链接:http://online.securityfocus.com/archive/1/287228 来源: VULNWATCH 名称: 20020813 Multiple Vulnerabilities in CafeLog Weblog Package 链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q3/0071.HTML 来源: XF 名称: b2-tableposts-sql-injection(9836) 链接:http://www.iss.net/security_center/static/9836.php
受影响实体
- Cafelog B2:0.6pre2
- Cafelog B2:0.6pre2
补丁
暂无
评论