漏洞信息详情
ReMOSitory Server远程SQL注入漏洞
- CNNVD编号:CNNVD-200412-1187
- 危害等级: 高危
- CVE编号: CVE-2004-2143
- 漏洞类型: 输入验证
- 发布时间: 2004-09-19
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: mambo
- 漏洞来源: khoaimi※ kh0aimi@y...
漏洞简介
Mambo Open Source是一套基于PHP和MySql的开源网站内容管理系统(CMS)。该系统支持搜索引擎优化、模板/主题下载和流量统计等。ReMOSitory Server是Mambo OpenServer扩展组件。 ReMOSitory Server不正确处理用户提交的URL参数,远程攻击者可以利用这个漏洞进行SQL注入攻击,可能获得敏感数据库信息。 主要问题是对用户提交给\'\'filecatid\'\'参数数据缺少充分过滤,用户提交包含恶意SQL命令的数据作为此参数数据,可更改原有SQL逻辑,获得敏感信息或可能更改数据库数据。
漏洞公告
厂商补丁: Mambo ----- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://mambo.clippersoft.net/
参考网址
来源: www.mamboportal.com 链接:http://www.mamboportal.com/content/view/1615/ 来源: SECTRACK 名称: 1011356 链接:http://securitytracker.com/id?1011356 来源: SECUNIA 名称: 12597 链接:http://secunia.com/advisories/12597/ 来源: XF 名称: remository-filecatid-sql-injection(17441) 链接:http://xforce.iss.net/xforce/xfdb/17441 来源: BID 名称: 11219 链接:http://www.securityfocus.com/bid/11219 来源: OSVDB 名称: 10040 链接:http://www.osvdb.org/10040 来源: BUGTRAQ 名称: 20040919 Re: Mambo Portal lasted version 4.5.1 (1.09) and lower vesion : SQL injection Vulnerability. 链接:http://archives.neohapsis.com/archives/bugtraq/2004-09/0249.HTML 来源: BUGTRAQ 名称: 20040917 Mambo Portal lasted version 4.5.1 (1.09) and lower vesion : SQL injection Vulnerability. 链接:http://archives.neohapsis.com/archives/bugtraq/2004-09/0215.HTML 来源:NSFOCUS 名称:6908 链接:http://www.nsfocus.net/vulndb/6908
受影响实体
- Mambo Mambo_portal:4.5.1_1.0.9
补丁
暂无
评论