漏洞信息详情
PlaySMS Cookie SQL注入漏洞
- CNNVD编号:CNNVD-200412-376
- 危害等级: 高危
- CVE编号: CVE-2004-2263
- 漏洞类型: 输入验证
- 发布时间: 2004-08-18
- 威胁类型: 远程
- 更新时间: 2006-09-23
- 厂 商: playsms
- 漏洞来源: SecuriTeam※ suppor...
漏洞简介
Anton Raharja PlaySMS是SMS网关应用处理用于处理单个或广播SMS消息。 PlaySMS对用户输入缺少充分过滤,远程攻击者可以利用这个漏洞执行任意SQL命令绕过验证。 PlaySMS包含的valid()函数对用户提交的COOKIES数据缺少充分过滤,如果服务器\"magic_quotes_gpc\"设置为\'\'off\'\'的情况下,远程用户可以提供特殊构建的COOKIE值来执行SQL命令,导致未授权访问系统。
漏洞公告
厂商补丁: PlaySMS ------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载升级版本PlaySMS 0.7.1版本:
http://playsms.sourceforge.net/web/
参考网址
来源: XF 名称: playsms-valid-sql-injection(17031) 链接:http://xforce.iss.net/xforce/xfdb/17031 来源: BID 名称: 10970 链接:http://www.securityfocus.com/bid/10970 来源: OSVDB 名称: 8984 链接:http://www.osvdb.org/8984 来源: sourceforge.net 链接:http://sourceforge.net/project/shownotes.php?release_id=254915 来源: SECTRACK 名称: 1010984 链接:http://securitytracker.com/id?1010984 来源: www.securiteam.com 链接:http://www.securiteam.com/unixfocus/5UP0F2ADPS.HTML 来源:NSFOCUS 名称:6826 链接:http://www.nsfocus.net/vulndb/6826
受影响实体
- Playsms Playsms:0.6
- Playsms Playsms:0.7
补丁
暂无
评论