漏洞信息详情
Phorum follow.php脚本远程SQL注入漏洞
- CNNVD编号:CNNVD-200412-307
- 危害等级: 中危
- CVE编号: CVE-2004-1518
- 漏洞类型: 输入验证
- 发布时间: 2004-11-11
- 威胁类型: 本地
- 更新时间: 2005-10-20
- 厂 商: phorum
- 漏洞来源: Janek Vind "waraxe...
漏洞简介
Phorum是一款基于PHP的WEB论坛程序。 Phorum包含的\'\'follow.php\'\'脚本不正确过滤用户提交的URL数据,远程攻击者可以利用这个漏洞进行SQL注入攻击。 \'\'follow.php\'\'对\"$thread\" 参数缺少充分过滤,攻击者提交包含恶意SQL命令的数据作为此参数数据,可更改原来的SQL逻辑,获得敏感信息,如管理员的密码HASH数据。
漏洞公告
厂商补丁: Phorum ------ Phorum version 5.0.13不存在此漏洞,建议用户下载使用:
http://phorum.org/downloads.php
参考网址
来源: XF 名称: phorum-followphp-sql-injection(18045) 链接:http://xforce.iss.net/xforce/xfdb/18045 来源: BID 名称: 11660 链接:http://www.securityfocus.com/bid/11660 来源: SECUNIA 名称: 13174 链接:http://secunia.com/advisories/13174 来源: BUGTRAQ 名称: 20041111 [waraxe-2004-SA#037 - Sql injection bug in Phorum 5.0.12 and older versions] 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110021385926870&w=2 来源: FULLDISC 名称: 20041111 [waraxe-2004-SA#037 - Sql injection bug in Phorum 5.0.12 and older versions] 链接:http://lists.grok.org.uk/pipermail/full-disclosure/2004-November/028609.HTML 来源:NSFOCUS 名称:7107 链接:http://www.nsfocus.net/vulndb/7107
受影响实体
- Phorum Phorum:5.0.9
- Phorum Phorum:5.0.7_beta
- Phorum Phorum:5.0.3_beta
- Phorum Phorum:5.0.12
- Phorum Phorum:5.0.11
补丁
暂无
评论