Cotonti 'admin.php'远程SQL注入漏洞

文章由LinuxBoy分享于2019-04-02 07:04:03热评（578）

发布日期：2012-06-21
更新日期：2012-06-25

受影响系统：
Cotonti Cotonti
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 54147

Cotonti是开源PHP内容管理框架。

Cotonti 0.6.23没有正确过滤SQL查询中使用的用户输入，在实现上存在SQL注入漏洞，成功利用后可允许攻击者控制应用，访问或修改数据或利用下层数据库中的其他漏洞。

<*来源：Akastep
*>

测试方法：
--------------------------------------------------------------------------------

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/admin.php?m=hits&f=year&v=1[SQLi]

建议：
--------------------------------------------------------------------------------
厂商补丁：

Cotonti
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.cotonti.com/

推荐文章：