漏洞信息详情
webSPELL 'language.php' SQL注入漏洞
- CNNVD编号:CNNVD-200906-061
- 危害等级: 高危
- CVE编号: CVE-2009-1912
- 漏洞类型: 路径遍历
- 发布时间: 2009-06-04
- 威胁类型: 远程
- 更新时间: 2009-06-05
- 厂 商: webspell
- 漏洞来源: DNX
漏洞简介
webSPELL 4.2.0e版本及其早期版本的src/func/language.php中存在目录遍历漏洞。远程攻击者可以借助一个语言cookie中的一个..(参数中包含\'\'..\'\'),包含和运行任意本地.php文件。注意:该漏洞可以通过包含awards.php进一步扩大为SQL注入漏洞。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
webSPELL webSPELL 4.2.0c
webSPELL SecurityFix 2009-04-04f
http://www.webspell.org/download.php?fileID=30
webSPELL webSPELL 4.2.0d
webSPELL SecurityFix 2009-04-04f
http://www.webspell.org/download.php?fileID=30
webSPELL webSPELL 4.0
webSPELL SecurityFix 2009-04-04f
http://www.webspell.org/download.php?fileID=30
webSPELL webSPELL 4.1
webSPELL SecurityFix 2009-04-04f
http://www.webspell.org/download.php?fileID=30
webSPELL webSPELL 4.1.1
webSPELL SecurityFix 2009-04-04f
http://www.webspell.org/download.php?fileID=30
webSPELL webSPELL 4.1.2
webSPELL SecurityFix 2009-04-04f
http://www.webspell.org/download.php?fileID=30
webSPELL webSPELL 4.2 e
webSPELL SecurityFix 2009-04-04f
http://www.webspell.org/download.php?fileID=30
参考网址
来源: www.webspell.org
链接:http://www.webspell.org/index.php?site=news_comments&newsID=130
来源: www.webspell.org
链接:http://www.webspell.org/index.php?site=files&file=30
来源: www.webspell.org
链接:http://www.webspell.org/
来源: BID
名称: 34862
链接:http://www.securityfocus.com/bid/34862
来源: OSVDB
名称: 54296
链接:http://www.osvdb.org/54296
来源: XF
名称: webspell-awards-sql-injection(50395)
链接:http://xforce.iss.net/xforce/xfdb/50395
来源: MILW0RM
名称: 8622
链接:http://www.milw0rm.com/exploits/8622
来源: SECUNIA
名称: 35016
链接:http://secunia.com/advisories/35016
来源: OSVDB
名称: 54295
链接:http://osvdb.org/54295
受影响实体
- Webspell Webspell:4.2.0c
- Webspell Webspell:4.1.2
- Webspell Webspell:4.2.0e
- Webspell Webspell:4.2.0d
- Webspell Webspell:4.1.1
补丁
暂无
评论