[翻译]2BGal SQL注入漏洞

本文作者： Z.C.Y[B.C.T]
文章出处： 原创翻译
翻译网站： http://www.bnso.net

安全公告：12083
漏洞类别：输入合法性错误
远程提交：是
发布时间：2004-12-22
发布作者：zib zib <zibelette@aol.com>
更新日期：2005-1-7
影响版本：2BGal 2BGal 2.5.1
资料来源：http://www.securityfocus.com/bid/12083/info/

描述：2Bgal存在一个远程SQL注入漏洞。这个问题是由于应用程序对一个SQL查询包含用户提交的输入之前缺少充分过滤导致。

攻击者可能利用这个漏洞来构造SQL查询字符串，然后执行任意数据库查询。这样就很容易泄露或者破坏敏感数据库信息。

示例：http://www.example.com/2bgal/dis ... 20passwd%20as%20nom,%20idpere%20FROM%20galbumlist%20LIMIT%201;

解决方法：厂商在2BGal 2.5.2中已经解决这个问题
下载地址：http://www.ben3w.com/multimedia/dlcounter.php?selfile=2bgal.zip