漏洞信息详情

Simple Machines Forum 'load.php'SQL注入漏洞

• CNNVD编号：CNNVD-200904-397
• 危害等级： 高危
  
• CVE编号： CVE-2008-6741
• 漏洞类型： SQL注入
• 发布时间： 2009-04-21
• 威胁类型： 远程
• 更新时间： 2009-04-22
• 厂        商： simple_machines
• 漏洞来源： The:Paradox

漏洞简介

Simple Machines Forum (SMF) 1.1.4及之前版本中的Load.php存在SQL注入漏洞。远程攻击者可以通过把db_character_set parameter设置成一个多byte的字符装置(比如big5)，执行任意的SQL指令。它会造成addslashes PHP函数生成一个＼序列，该序列不会引用 \'\'字符。

漏洞公告

参考网址

来源: XF 名称: smf-load-sql-injection(43118) 链接:http://xforce.iss.net/xforce/xfdb/43118 来源: BID 名称: 29734 链接:http://www.securityfocus.com/bid/29734 来源: MILW0RM 名称: 5826 链接:http://www.milw0rm.com/exploits/5826

受影响实体

• Simple_machines Simple_machines_forum:1.1:Rc3  
• Simple_machines Simple_machines_forum:1.1:Rc2  
• Simple_machines Simple_machines_forum:1.1:Rc1  
• Simple_machines Simple_machines_forum:1.1.4  
• Simple_machines Simple_machines_forum:1.1.1  

补丁

暂无