bugtraq id | 严重程度 | cve id | 发布日期 | 更新日期 |
7031 | 高 | 2003-03-31 | 2003-03-31 |
错误类型 | 利用方式 | 威胁类型 |
输入验证错误 | 服务器模式 | 控制应用程序系统 |
所影响的操作系统和应用程序
francisco burzi php-nuke 6.0
francisco burzi php-nuke 6.5 beta 1
详细描述
php-nuke的members_list和your_account模块存在多个sql指令注入漏洞,由于没有对用户的输入做充分的过滤而用来构造sql查询语句,远程入侵者可以利用这个问题把恶意的数据输入到sql的查询语句中,从而更改sql的查询逻辑,通过恶意操作数据库控制php-nuke web系统,也可能造成其他的攻击。
测试代码
解决方案
厂商还未提供解决方案,临时解决方案是打开php配置文件中的magic_quotes_gpc选项。