PHP-Nuke SQL注入保护绕过和多个SQL注入漏洞

基本字段

漏洞编号:
SSV-1645
披露/发现时间:
未知
提交时间:
2007-04-18
漏洞等级:
漏洞类别:
SQL 注入
影响组件:
PHP-Nuke
(8.0)
漏洞作者:
未知
提交者:
Knownsec
CVE-ID:
补充
CNNVD-ID:
补充
CNVD-ID:
补充
ZoomEye Dork:
补充

来源

漏洞详情

贡献者 Knownsec 共获得  0KB

PHP-Nuke是一款基于PHP的WEB应用程序。

PHP-Nuke不正确过滤用户提交的输入,远程攻击者可以利用漏洞进行SQL注入攻击,获得敏感信息。

问题是对于"/"字符缺少充分的过滤,使用"%2f"可绕过输入检查,进行SQL注入攻击。

PHP-Nuke 8.0 .3.3b 目前没有解决方案提供:

http://www.phpnuke.org

共 0  兑换了

PoC (非 pocsuite 插件)

贡献者 Knownsec 共获得   0.15KB
1
2
3
http://www.example.com/nuke/?%2f*
http://www.example.com/html80/?%2f**/UNION%2f**/SELECT
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

共 1 兑换

参考链接

解决方案

临时解决方案

官方解决方案

升级到最新无漏洞版本

防护方案

人气 886
评论前需绑定手机 现在绑定

暂无评论

※本站提供的任何内容、代码与服务仅供学习,请勿用于非法用途,否则后果自负