Chamilo LMS ‘password0’参数SQL注入漏洞

admin
admin
admin
0
文章
0
评论
2022-10-10 09:06:04 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Chamilo LMS ‘password0’参数SQL注入漏洞

  • CNNVD编号:CNNVD-201311-088
  • 危害等级: 高危
  • CVE编号: CVE-2013-6787
  • 漏洞类型: SQL注入
  • 发布时间: 2013-11-07
  • 威胁类型: 远程
  • 更新时间: 2013-12-09
  • 厂        商: chamilo
  • 漏洞来源: High-Tech Bridge S...

漏洞简介

Chamilo LMS是Chamilo协会开发的一套开源的在线学习和协作系统。该系统支持创建教学内容、远程培训和在线答题等。

Chamilo LMS 1.9.6及之前的版本中的main/auth/profile.php脚本中的‘check_user_password’函数中存在SQL注入漏洞。当安装程序期间没有加密用户的密码时,远程经过授权的攻击者可借助‘password’HTTP POST参数利用该漏洞执行任意SQL命令。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://support.chamilo.org/projects/chamilo-18/wiki/Security_issues#Issue-10-2013-11-06-Moderate-risk-SQL-Injection-in-specific-unrecommended-case

参考网址

来源: www.htbridge.com

链接:https://www.htbridge.com/advisory/HTB23182

来源: support.chamilo.org

链接:https://support.chamilo.org/projects/chamilo-18/wiki/Security_issues#Issue-10-2013-11-06-Moderate-risk-SQL-Injection-in-specific-unrecommended-case

来源: EXPLOIT-DB

名称: 30012

链接:http://www.exploit-db.com/exploits/30012

来源: BUGTRAQ

名称: 20131127 SQL Injection in Chamilo LMS

链接:http://archives.neohapsis.com/archives/bugtraq/2013-11/0141.HTML

来源: BID

名称: 63556

链接:http://www.securityfocus.com/bid/63556

受影响实体

  • Chamilo Chamilo_lms:1.8.6.2  
  • Chamilo Chamilo_lms:1.9.2  
  • Chamilo Chamilo_lms:1.9.0  
  • Chamilo Chamilo_lms:1.8.8.6  
  • Chamilo Chamilo_lms:1.8.8.4  

补丁

  • chamilo-1.9.8-nightly-2013-09-21

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0