PGPartenaires多个可注入SQL指令漏洞
添加时间:
2005-08-17
系统编号:
WAVDB-00470
BUGTRAQ: 6455
影响版本:
SPGPartenaires 3.0.1
程序介绍:
2005-08-17
系统编号:
WAVDB-00470
BUGTRAQ: 6455
影响版本:
SPGPartenaires 3.0.1
程序介绍:
SPGPartenaires是一款开放源代码合作人管理脚本,可使用在Unix和Linux操作系统下。
漏洞分析:
SPGPartenaires中多个脚本对用户提交的pass和SPGP参数缺少正确检查,远程攻击者可以利用这个漏洞构建恶意URI请求而导致破坏成员信息。
由于脚本没有正确过滤用户提交数据,攻击者通过在pass或SPGP变量中插入SQL代码,可修改SQL查询逻辑,修改数据库中成员信息,可能也可以利用这个漏洞对数据库进行更高级攻击。
解决方案:
厂商补丁:
SPGPartenaires
--------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
SPGPartenaires SPGPartenaires 3.0.1:
phpsecure Patch SPGpartenaires3.0.1.zip
http://phpsecure.rootzmail.net/SPGpartenaires3.0.1.zip
信息来源:
<* 链接:http://marc.theaimsgroup.com/?l= ... 628927673&w=2 *>