PHP-Nuke存在远程SQL注入漏洞后台数据库堪忧

2024-05-04 23:04:03

字体：大中小

来源：转载

供稿：网友

　　描述：

　　php-nuke是一个广为流行的网站创建和管理工具，它可以使用很多数据库软件作为后端，比如mysql、postgresql、msql、interbase、sybase等。

　　php-nuke的your_account模块实现上存在输入验证漏洞，远程攻击者可能利用此漏洞对服务器程序执行sql注入攻击。

　　php-nuke的your_account模块没有对username参数做充分的过滤检查，远程攻击者可能在此参数中插入恶意的sql命令，从而非授权获取对后台数据库的操作。

　　受影响系统：

　　php-nuke php-nuke 7.8

　　不受影响系统：

　　php-nuke php-nuke 7.9 + patch 3.1

　　补丁下载：

　　目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

　　http://phpnuke.org/

上一篇：PHPer：让我们拥抱敏捷吧

下一篇：vim下高亮显示php代码