漏洞信息详情
List Site Pro用户数据库定界符注入漏洞
- CNNVD编号:CNNVD-200312-325
- 危害等级: 高危
- CVE编号: CVE-2003-1350
- 漏洞类型: 输入验证
- 发布时间: 2003-01-27
- 威胁类型: 远程
- 更新时间: 2007-10-17
- 厂 商: list_site_pro
- 漏洞来源: StatiX Statix※ mai...
漏洞简介
List Site PRO是一款站点排名系统,可以对各个成员站点进行统计,并根据点击结果进行排名。 List Site PRO对用户提交的数据缺少正确过滤,远程攻击者可以利用这个漏洞注入定界符,更改帐户信息。 通过注册和在部分字段注入\'\'|\'\'符来控制其他用户帐户信息,List Site Pro使用\'\'|\'\'来定界数据库,但是没有对输入数据进行定界符检查,因此用户如果输入如下内容: username:username email:[email protected] url:www.url.com bannerurl:www.site.com/banner.gif ||password|1036360992|60|468 banner height:68 banner width:460 password:pass 帐户1036360992的密码将更改成\'\'password\'\'值,由于用户ID是显示在topsite的链接中的,所以攻击者可以以任意帐户登录,更改链接指向等恶意操作。
漏洞公告
厂商补丁: List Site Pro ------------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.listsitepro.com/
参考网址
来源: XF 名称: listsitepro-account-hijacking(11156) 链接:http://xforce.iss.net/xforce/xfdb/11156 来源: BID 名称: 6685 链接:http://www.securityfocus.com/bid/6685 来源: BUGTRAQ 名称: 20030124 List Site Pro v2 user account Hijacking vulnerablity 链接:http://www.securityfocus.com/archive/1/308300 来源: SREASON 名称: 3230 链接:http://securityreason.com/securityalert/3230 来源:NSFOCUS 名称:4290 链接:http://www.nsfocus.net/vulndb/4290
受影响实体
- List_site_pro List_site_pro:2.0
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论