MODx Revolution 多个SQL注入漏洞

文章由LinuxBoy分享于2019-04-02 01:04:02热评（494）

MODx Revolution 多个SQL注入漏洞

发布日期：2014-04-19
更新日期：2014-04-23

受影响系统：
MODx MODx
MODx Revolution <= 2.2.13-pl
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 66990
CVE(CAN) ID: CVE-2014-2736

MODx Revolution是免费的开源内容管理系统。

MODx Revolution 2.2.13及其他版本在处理用户提供的会话ID时存在SQL盲注漏洞，该漏洞无需身份验证即可利用。当会话ID插入到modx_session表格后会触发此漏洞，导致向index.php注入SQL子查询。

受影响参数：
/connectors/security/message.php的user参数
/manager/index.php的id参数

<*来源：Craig Arendt

链接：http://www.securityfocus.com/archive/1/531887/2013-08-20/2
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

MODx
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://modxcms.com/

http://modx.com/blog/2014/04/04/revolution-2.2.14/

推荐文章：

MODx Revolution 多个SQL注入漏洞