当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Piwigo \'admin.php\' SQL注入漏洞

     发表日期:2015-03-17 09:40:07

Piwigo \'admin.php\' SQL注入漏洞
BugTraq-ID:72689
CVE-ID:CVE-2015-2035
发布日期:2015-02-18
更新日期:2015-03-04
受影响系统:
Piwigo Piwigo <= 2.7.3
详细信息:

Piwigo是用PHP编写的相册脚本。

Piwigo 2.7.4之前版本,管理后台的"History"功能存在sql注入漏洞,通过在POST请求中向参数"user"附加任意sql语句,远程管理员可利用此漏洞执行未授权数据库操作。


来源:
Steffen R&#195;&#182;semann
参考信息:
http://seclists.org/fulldisclosure/2015/Feb/73
解决办法:
厂商补丁:

Piwigo
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://piwigo.org
http://sroesemann.blogspot.de/2015/01/sroeadv-2015-06.html
http://piwigo.org/forum/viewtopic.php?id=25179