漏洞信息详情
Gnew SQL注入漏洞
- CNNVD编号:CNNVD-201404-003
- 危害等级: 高危
- CVE编号: CVE-2013-7349
- 漏洞类型: SQL注入
- 发布时间: 2014-04-02
- 威胁类型: 远程
- 更新时间: 2014-05-13
- 厂 商: raoul_proenca
- 漏洞来源:
漏洞简介
Gnew是一套开源的内容管理系统(CMS)。该系统具有易于使用、管理等特点。
Gnew 2013.1版本中存在SQL注入漏洞,该漏洞源于news/send.php脚本没有充分过滤‘news_id’参数;posts/edit.php脚本没有充分过滤‘thread_id’参数;users/password.php和users/register.php脚本没有充分过滤‘user_email’参数。远程攻击者可利用该漏洞执行任意SQL命令。
漏洞公告
目前厂商暂未发布修复措施解决此安全问题,使用此软件的用户可参考非厂商提供的临时修复措施(仅供参考)或随时关注厂商主页以获取最终解决办法:
http://freecode.com/projects/gnew
High-Tech Bridge Security Research Lab厂商提供的临时修复措施(仅供参考):
https://www.htbridge.com/advisory/HTB23171-patch.zip
参考网址
来源: www.netsparker.com
链接:https://www.netsparker.com/critical-xss-sql-injection-vulnerabilities-gnew/
来源: www.htbridge.com
链接:https://www.htbridge.com/advisory/HTB23171
来源: www.zeroscience.mk
链接:http://www.zeroscience.mk/en/vulnerabilities/ZSL-2013-5153.php
来源: EXPLOIT-DB
名称: 28684
链接:http://www.exploit-db.com/exploits/28684
来源: packetstormsecurity.com
链接:http://packetstormsecurity.com/files/123482
来源: packetstormsecurity.com
链接:http://packetstormsecurity.com/files/122771
受影响实体
- Raoul_proenca Gnew:2013.1
补丁
暂无
评论