漏洞信息详情
MODX Revolution SQL注入漏洞
- CNNVD编号:CNNVD-201404-498
- 危害等级: 高危
- CVE编号: CVE-2014-2736
- 漏洞类型: SQL注入
- 发布时间: 2014-04-28
- 威胁类型: 远程
- 更新时间: 2019-10-23
- 厂 商: modx
- 漏洞来源:
漏洞简介
MODX Revolution是美国MODX公司的一套基于PHP的开源内容管理系统(CMS)。该系统支持在线协作、搜索引擎优化(SEO)、附加组件等。
MODX Revolution 2.2.13及之前版本中存在SQL注入漏洞,该漏洞源于index.php脚本没有充分过滤会话ID(PHPSESSID);connectors/security/message.php脚本没有充分过滤user参数;manager/index.php脚本没有充分过滤id参数。远程攻击者可利用该漏洞执行任意SQL命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://forums.modx.com/thread/90173/modx-revolution-2-2-13-and-prior-blind-sql-injection
参考网址
来源:CONFIRM
链接:http://forums.modx.com/thread/90173/modx-revolution-2-2-13-and-prior-blind-sql-injection
来源:BUGTRAQ
链接:http://archives.neohapsis.com/archives/bugtraq/2014-04/0124.HTML
来源:BID
链接:https://www.securityfocus.com/bid/66990
来源:SECUNIA
链接:http://secunia.com/advisories/58036
受影响实体
- Modx Modx_revolution:2.1.1
- Modx Modx_revolution:2.1.2
- Modx Modx_revolution:2.1.3
- Modx Modx_revolution:2.1.4
- Modx Modx_revolution:2.2.8
补丁
- modx-2.2.14-pl
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论