文章 | 入侵攻击 | 安全防御 | 电脑知识 | 建站技术 | 网络编程 | 网络知识 | 工具使用 | 新闻资讯 | 安全公告
下载 | 漏洞扫描 | 加密破解 | 入侵攻击 | 后门木马 | 溢出程序 | 综合工具 | 安全防护 | 原创作品 | 动画教程
论坛 | 黑客军火 | 配服务器 | 黑客情感 | 免费资源 | 被黑网站 | 美女贴图 | 会员照片 | 在线服务 | 网站首页
受影响系统: Beehive Forum Beehive Forum 0.7.1不受影响系统: Beehive Forum Beehive Forum 0.8描述: --------------------------------------------------------------------------------BUGTRAQ ID: 26492CVE(CAN) ID: CVE-2007-6014
Beehive Forum是用PHP编写的开源Web论坛应用。
Beehive Forum实现上存输入验证漏洞,远程攻击者可能利用此漏洞执行SQL注入攻击,非授权操作数据库获取敏感信息。
Beehive论坛的post.php脚本没有正确地过滤用户对t_dedupe变量的输入便将该变量的值包含在了SQL语句中并由@mysql_query函数执行。这个函数经过了特别的设计禁止在单个调用中使用多个SQL语句以缓解SQL注入攻击的影响,但攻击者仍可以通过t_dedupe变量操控SQL语句,从数据库获得任意数据。
<*来源:Robert Brown (robert_brown@symantec.com) 链接:http://sourceforge.net/project/shownotes.php?group_id=50772&release_id=551758 http://marc.info/?l=bugtraq&m=119671621017718&w=2 http://secunia.com/advisories/27909/*>
建议: --------------------------------------------------------------------------------厂商补丁:
Beehive Forum-------------目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://downloads.sourceforge.net/beehiveforum/beehiveforum08.tar.gz?modtime=1196109842&big_mirror=0
当前位置:
