漏洞信息详情

Joomla! 2Glux Sexy Polling SQL注入漏洞

• CNNVD编号：CNNVD-201401-407
• 危害等级： 高危
  
• CVE编号： CVE-2013-7219
• 漏洞类型： SQL注入
• 发布时间： 2014-01-24
• 威胁类型： 远程
• 更新时间： 2014-01-24
• 厂        商： 2glux
• 漏洞来源：

漏洞简介

Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS)，该系统提供RSS馈送、网站搜索等功能。2Glux Sexy Polling（com_sexypolling）是其中的一个支持自定义的投票组件。

Joomla!的2Glux Sexy Polling组件1.0.8及之前的版本中存在SQL注入漏洞，该漏洞源于ote.php脚本没有充分过滤‘answer_id[]’参数。远程攻击者可利用该漏洞执行任意SQL命令。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://2glux.com/forum/sexypolling/sexy-polling-security-vulnerability-notification-t2026.HTML

参考网址

来源: www.htbridge.com

链接:https://www.htbridge.com/advisory/HTB23193

来源: XF

名称: sexypolling-cve20137219-sql-injection(90519)

链接:http://xforce.iss.net/xforce/xfdb/90519

来源: BUGTRAQ

名称: 20140116 SQL Injection in Sexy Polling Joomla Extension

链接:http://www.securityfocus.com/archive/1/archive/1/530789/100/0/threaded

来源: 2glux.com

链接:http://2glux.com/forum/sexypolling/sexy-polling-security-vulnerability-notification-t2026.HTML

来源:SECUNIA

名称:56523

链接:http://secunia.com/advisories/56523

受影响实体

• 2glux Com_sexypolling:0.9.2:-:~-~-~Joomla%21~~  
• 2glux Com_sexypolling:0.9.1:-:~-~-~Joomla%21~~  
• 2glux Com_sexypolling:1.0.2:-:~-~-~Joomla%21~~  
• 2glux Com_sexypolling:1.0.1:-:~-~-~Joomla%21~~  
• 2glux Com_sexypolling:0.9.4:-:~-~-~Joomla%21~~  

补丁

• sexypolling_pack_1.0.9_2glux.com