漏洞信息详情
Chamilo LMS ‘password0’参数SQL注入漏洞
- CNNVD编号:CNNVD-201311-088
- 危害等级: 高危
- CVE编号: CVE-2013-6787
- 漏洞类型: SQL注入
- 发布时间: 2013-11-07
- 威胁类型: 远程
- 更新时间: 2013-12-09
- 厂 商: chamilo
- 漏洞来源: High-Tech Bridge S...
漏洞简介
Chamilo LMS是Chamilo协会开发的一套开源的在线学习和协作系统。该系统支持创建教学内容、远程培训和在线答题等。
Chamilo LMS 1.9.6及之前的版本中的main/auth/profile.php脚本中的‘check_user_password’函数中存在SQL注入漏洞。当安装程序期间没有加密用户的密码时,远程经过授权的攻击者可借助‘password’HTTP POST参数利用该漏洞执行任意SQL命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://support.chamilo.org/projects/chamilo-18/wiki/Security_issues#Issue-10-2013-11-06-Moderate-risk-SQL-Injection-in-specific-unrecommended-case
参考网址
来源: www.htbridge.com
链接:https://www.htbridge.com/advisory/HTB23182
来源: support.chamilo.org
链接:https://support.chamilo.org/projects/chamilo-18/wiki/Security_issues#Issue-10-2013-11-06-Moderate-risk-SQL-Injection-in-specific-unrecommended-case
来源: EXPLOIT-DB
名称: 30012
链接:http://www.exploit-db.com/exploits/30012
来源: BUGTRAQ
名称: 20131127 SQL Injection in Chamilo LMS
链接:http://archives.neohapsis.com/archives/bugtraq/2013-11/0141.HTML
来源: BID
名称: 63556
链接:http://www.securityfocus.com/bid/63556
受影响实体
- Chamilo Chamilo_lms:1.8.6.2
- Chamilo Chamilo_lms:1.9.2
- Chamilo Chamilo_lms:1.9.0
- Chamilo Chamilo_lms:1.8.8.6
- Chamilo Chamilo_lms:1.8.8.4
补丁
- chamilo-1.9.8-nightly-2013-09-21
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论