漏洞信息详情
Interact 'emailuser.php'SQL注入漏洞
- CNNVD编号:CNNVD-200811-017
- 危害等级: 高危
- CVE编号: CVE-2008-3867
- 漏洞类型: SQL注入
- 发布时间: 2008-11-03
- 威胁类型: 远程
- 更新时间: 2009-01-29
- 厂 商: cce-interact
- 漏洞来源: Secunia Research
漏洞简介
Interact是一个提供社交/互动方面的教学和学习的网上学习平台。
它不同于其宗旨是把注意力集中在社会/互动方面的教学和学习Interact 2.4.1版本中的spaces/emailuser.php存在SQL注入漏洞。远程攻击者可以借助email_user_key参数,执行任意的SQL指令。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Interact interact-2-4-1.zip
http://sourceforge.net/projects/cce-interact/files/interact%20-%20stable/interact-2.4.1/interact-2-4-1.zip
参考网址
来源: XF
名称: interact-emailuser-sql-injection(46267)
链接:http://xforce.iss.net/xforce/xfdb/46267
来源: BID
名称: 32014
链接:http://www.securityfocus.com/bid/32014
来源: BUGTRAQ
名称: 20081031 Secunia Research: Interact SQL Injection and Cross-Site Request Forgery
链接:http://www.securityfocus.com/archive/1/archive/1/497967/100/0/threaded
来源: sourceforge.net
链接:http://sourceforge.net/tracker/index.php?func=detail&aid=2208205&group_id=69681&atid=525406
来源: SREASON
名称: 4537
链接:http://securityreason.com/securityalert/4537
来源: MISC
链接:http://secunia.com/secunia_research/2008-44/
来源: SECUNIA
名称: 32359
链接:http://secunia.com/advisories/32359
受影响实体
- Cce-Interact Interact:2.4.1
补丁
暂无
评论