[翻译]2BGal SQL注入漏洞
本文作者: Z.C.Y[B.C.T]文章出处: 原创翻译
翻译网站: [url]http://www.bnso.net[/url]
安全公告:12083
漏洞类别:输入合法性错误
远程提交:是
发布时间:2004-12-22
发布作者:zib zib <[email]zibelette@aol.com[/email]>
更新日期:2005-1-7
影响版本:2BGal 2BGal 2.5.1
资料来源:[url]http://www.securityfocus.com/bid/12083/info/[/url]
描述:2Bgal存在一个远程SQL注入漏洞。这个问题是由于应用程序对一个SQL查询包含用户提交的输入之前缺少充分过滤导致。
攻击者可能利用这个漏洞来构造SQL查询字符串,然后执行任意数据库查询。这样就很容易泄露或者破坏敏感数据库信息。
示例:[url]http://www.example.com/2bgal/disp_album.php?id_album=2%20UNION%20SELECT%20passwd%20as%20nom[/url],%20idpere%20FROM%20galbumlist%20LIMIT%201;
解决方法:厂商在2BGal 2.5.2中已经解决这个问题
下载地址:[url]http://www.ben3w.com/multimedia/dlcounter.php?selfile=2bgal.zip[/url]
页:
[1]