漏洞信息详情

PHPNews SQL注入漏洞

• CNNVD编号：CNNVD-200412-660
• 危害等级： 高危
  
• CVE编号： CVE-2004-2474
• 漏洞类型： SQL注入
• 发布时间： 2004-12-31
• 威胁类型： 远程
• 更新时间： 2005-10-20
• 厂        商： phpnews
• 漏洞来源： This vulnerability...

漏洞简介

PHPNews 1.2.3版本存在SQL注入漏洞。远程攻击者可以借助sendtofriend.php的mid参数执行任意SQL命令。

漏洞公告

The vendor has released version 1.2.4 of the package to resolve this issue: PHPNews PHPNews 1.2.3

• PHPNews phpnews_1-2-4.zip http://prdownloads.sourceforge.net/newsphp/phpnews_1-2-4.zip?download

参考网址

来源: XF 名称: phpnews-sendtofriend-sql-injection(18233) 链接:http://xforce.iss.net/xforce/xfdb/18233 来源: BID 名称: 11748 链接:http://www.securityfocus.com/bid/11748 来源: SECUNIA 名称: 13300 链接:http://secunia.com/advisories/13300 来源: OSVDB 名称: 12119 链接:http://www.osvdb.org/12119 来源: newsphp.sourceforge.net 链接:http://newsphp.sourceforge.net/changelog/changelog_1.24.txt

受影响实体

• Phpnews Phpnews:1.2.3  

补丁

暂无