当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Revive Adserver \'what\'参数SQL注入漏洞

信息来源:Florian Sander      发表日期:2013-01-01 10:07:00

Revive Adserver是开源的广告服务器。

Revive Adserver 3.0.1及其他版本的XML-RPC交付调用脚本没有正确转义输入参数,可使远程攻击者通过交付XML-RPC方法的"what"参数,利用此漏洞注入任意SQL代码。

 

BUGTRAQ-ID:64463

CVE-ID:2013-7149

受影响系统:

Revive Adserver Revive Adserver <= 3.0.1

 

解决办法:

临时解决方法:

 

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

 

* 删除"www/delivery/axmlrpc.php"脚本。

 

厂商补丁:

 

Revive Adserver

---------------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

http://www.revive-adserver.com/

http://www.revive-adserver.com/security/REVIVE-SA-2013-001

 

参考信息:

http://www.securityfocus.com/archive/1/530471/30/0/threaded