漏洞信息详情
PHPKIT远程SQL注入跨站脚本漏洞
- CNNVD编号:CNNVD-200412-228
- 危害等级: 低危
- CVE编号: CVE-2004-1537
- 漏洞类型: 输入验证
- 发布时间: 2004-11-22
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: phpkit
- 漏洞来源: Steve steve01@chel...
漏洞简介
PHPKIT是一套基于Web的内容管理系统(CMS)。该系统提供论坛、留言板等模块。 PHPKIT对用户提交的URL参数缺少充分过滤,远程攻击者可以利用这个漏洞获得敏感信息,或者对数据库进行操作。 \'\'include.php\'\'脚本对用户提交的参数数据缺少充分过滤,提交包含恶意SQL命令的数据作为参数,可更改原来的SQL逻辑,可能获得敏感信息或操作数据库。 另外对部分HTML恶意数据也缺少过滤,构建恶意链接,可导致基于验证的COOKIE信息泄露。
漏洞公告
厂商补丁: PHPKIT ------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpkit.de/
参考网址
来源: XF 名称: phpkit-popup-xss(18204) 链接:http://xforce.iss.net/xforce/xfdb/18204 来源: BID 名称: 11725 链接:http://www.securityfocus.com/bid/11725 来源: SECUNIA 名称: 13262 链接:http://secunia.com/advisories/13262 来源: BUGTRAQ 名称: 20041122 PHPKIT SQL Injection, XSS 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110117116115493&w=2 来源:NSFOCUS 名称:7148 链接:http://www.nsfocus.net/vulndb/7148
受影响实体
- Phpkit Phpkit:1.6.02
- Phpkit Phpkit:1.6.03
- Phpkit Phpkit:1.6.1
补丁
暂无
评论