漏洞信息详情
Zen Cart admin/sqlpatch.php模块SQL注入漏洞
- CNNVD编号:CNNVD-200906-441
- 危害等级: 高危
- CVE编号: CVE-2009-2254
- 漏洞类型: SQL注入
- 发布时间: 2009-06-30
- 威胁类型: 远程
- 更新时间: 2009-06-30
- 厂 商: zen-cart
- 漏洞来源: BlackH※ Bl4ck.H@gm...
漏洞简介
Zen Cart是Zen Cart团队开发的一套开源的购物车系统。该系统主要用于建立网上商店,可支持多种付款方式、多语言选择、网上商城批量更新等。
Zen Cart 1.38a,1.38和更早版本没有对admin/sqlpatch.php模块强制管理认证,这允许远程攻击者在请求中通过query_string和PATH_INFO参数执行SQL注入攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.zen-cart.com/forum/showthread.php?t=130161
参考网址
来源: XF
名称: zencart-sqlpatch-sql-injection(51317)
链接:http://xforce.iss.net/xforce/xfdb/51317
来源: www.zen-cart.com
链接:http://www.zen-cart.com/forum/showthread.php?t=130161
来源: www.zen-cart.com
链接:http://www.zen-cart.com/forum/attachment.php?attachmentid=5965
来源: BID
名称: 35468
链接:http://www.securityfocus.com/bid/35468
来源: OSVDB
名称: 55343
链接:http://www.osvdb.org/55343
来源: MILW0RM
名称: 9005
链接:http://www.milw0rm.com/exploits/9005
来源: SECUNIA
名称: 35550
链接:http://secunia.com/advisories/35550
受影响实体
- Zen-Cart Zen_cart:1.3.8
- Zen-Cart Zen_cart:1.3.8a
- Zen-Cart Zen_cart:1.1.0
- Zen-Cart Zen_cart:1.1.3
- Zen-Cart Zen_cart:1.2.0d
补丁
暂无
评论