qliteNews是一款基于PHP的新闻管理程序。
qliteNews不充分过滤用户输入数据,远程攻击者可以利用漏洞进行SQL注入获得敏感信息。
问题是多个脚本对用户提交的WEB参数缺少过滤,可提交恶意SQL查询作为参数数据,可更改原来的SQL逻辑,获得敏感信息。
BUGTRAQ ID: 17333
CNCAN ID:CNCAN-2006040309
漏洞消息时间:2006-03-31
漏洞起因
输入验证问题
影响系统
r2xDesign qliteNews 2005.07.01
危害
远程攻击者可以利用漏洞进行SQL注入获得敏感信息。
攻击所需条件
攻击者必须访问qliteNews。
厂商解决方案
目前没有解决方案提供,请关注以下链接:
http://www.r2xdesign.net/phpscripts/p1.html
漏洞提供者
Aliaksandr Hartsuyeu
漏洞消息链接
漏洞消息标题
qliteNews SQL Injection Vulnerability (eVuln)