漏洞信息详情

PHPKIT远程SQL注入跨站脚本漏洞

• CNNVD编号：CNNVD-200412-228
• 危害等级： 低危
  
• CVE编号： CVE-2004-1537
• 漏洞类型： 输入验证
• 发布时间： 2004-11-22
• 威胁类型： 远程
• 更新时间： 2005-10-20
• 厂        商： phpkit
• 漏洞来源： Steve steve01@chel...

漏洞简介

PHPKIT是一套基于Web的内容管理系统（CMS）。该系统提供论坛、留言板等模块。 PHPKIT对用户提交的URL参数缺少充分过滤，远程攻击者可以利用这个漏洞获得敏感信息，或者对数据库进行操作。 \'\'include.php\'\'脚本对用户提交的参数数据缺少充分过滤，提交包含恶意SQL命令的数据作为参数，可更改原来的SQL逻辑，可能获得敏感信息或操作数据库。 另外对部分HTML恶意数据也缺少过滤，构建恶意链接，可导致基于验证的COOKIE信息泄露。

漏洞公告

厂商补丁： PHPKIT ------ 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpkit.de/

参考网址

来源: XF 名称: phpkit-popup-xss(18204) 链接:http://xforce.iss.net/xforce/xfdb/18204 来源: BID 名称: 11725 链接:http://www.securityfocus.com/bid/11725 来源: SECUNIA 名称: 13262 链接:http://secunia.com/advisories/13262 来源: BUGTRAQ 名称: 20041122 PHPKIT SQL Injection, XSS 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110117116115493&w=2 来源：NSFOCUS 名称：7148 链接：http://www.nsfocus.net/vulndb/7148

受影响实体

• Phpkit Phpkit:1.6.02  
• Phpkit Phpkit:1.6.03  
• Phpkit Phpkit:1.6.1  

补丁

暂无