漏洞信息详情

List Site Pro用户数据库定界符注入漏洞

• CNNVD编号：CNNVD-200312-325
• 危害等级： 高危
  
• CVE编号： CVE-2003-1350
• 漏洞类型： 输入验证
• 发布时间： 2003-01-27
• 威胁类型： 远程
• 更新时间： 2007-10-17
• 厂        商： list_site_pro
• 漏洞来源： StatiX Statix※ mai...

漏洞简介

List Site PRO是一款站点排名系统，可以对各个成员站点进行统计，并根据点击结果进行排名。 List Site PRO对用户提交的数据缺少正确过滤，远程攻击者可以利用这个漏洞注入定界符，更改帐户信息。 通过注册和在部分字段注入\'\'|\'\'符来控制其他用户帐户信息，List Site Pro使用\'\'|\'\'来定界数据库，但是没有对输入数据进行定界符检查，因此用户如果输入如下内容： username：username email：[email protected] url：www.url.com bannerurl：www.site.com/banner.gif ||password|1036360992|60|468 banner height：68 banner width：460 password：pass 帐户1036360992的密码将更改成\'\'password\'\'值，由于用户ID是显示在topsite的链接中的，所以攻击者可以以任意帐户登录，更改链接指向等恶意操作。

漏洞公告

厂商补丁： List Site Pro ------------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.listsitepro.com/

参考网址

来源: XF 名称: listsitepro-account-hijacking(11156) 链接:http://xforce.iss.net/xforce/xfdb/11156 来源: BID 名称: 6685 链接:http://www.securityfocus.com/bid/6685 来源: BUGTRAQ 名称: 20030124 List Site Pro v2 user account Hijacking vulnerablity 链接:http://www.securityfocus.com/archive/1/308300 来源: SREASON 名称: 3230 链接:http://securityreason.com/securityalert/3230 来源：NSFOCUS 名称：4290 链接：http://www.nsfocus.net/vulndb/4290

受影响实体

• List_site_pro List_site_pro:2.0  

补丁

暂无