漏洞信息详情

SPIP数据库备份请求绕过认证漏洞

• CNNVD编号：CNNVD-200909-025
• 危害等级： 中危
  
• CVE编号： CVE-2009-3041
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2009-08-10
• 威胁类型： 远程
• 更新时间： 2009-09-09
• 厂        商： spip
• 漏洞来源： SPIP

漏洞简介

SPIP是一套免费的基于Web的内容发布系统。该系统主要用于在线协作。 SPIP没有正确地限制对ecrire/exec/install.php和ecrire/index.php的访问，远程攻击者可以通过提交恶意的数据库备份请求执行各种非授权操作，如获得管理员的口令哈希。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接： http://www.spip-contrib.net/SPIP-Security-Alert-new-version

参考网址

来源: www.spip-contrib.net 链接:http://www.spip-contrib.net/SPIP-Security-Alert-new-version 来源: MISC 链接:http://fil.rezo.net/secu-14346-14350+14354.patch 来源: XF 名称: spip-unspecified-unauth-access(52381) 链接:http://xforce.iss.net/xforce/xfdb/52381 来源: BID 名称: 36008 链接:http://www.securityfocus.com/bid/36008 来源: SECUNIA 名称: 36365 链接:http://secunia.com/advisories/36365

受影响实体

• Spip Spip:1.9  
• Spip Spip:1.9.1  
• Spip Spip:1.9.2c  
• Spip Spip:2.0.1  
• Spip Spip:2.0.0  

补丁

暂无