PHP-Nuke多个SQL指令注入漏洞

PHP-Nuke多个SQL指令注入漏洞

- 中国WEB开发者网络 (http://www.webasp.net)
-- 技术教程 (http://www.webasp.net/article/)
--- PHP-Nuke多个SQL指令注入漏洞 (http://www.webasp.net/article/28/27103.htm)

-- 作者：未知
-- 发布日期： 2005-11-24

BUGTRAQ ID	严重程度	CVE ID	发布日期	更新日期
7031	高		2003-03-31	2003-03-31

错误类型	利用方式	威胁类型
输入验证错误	服务器模式	控制应用程序系统

所影响的操作系统和应用程序

Francisco Burzi PHP-Nuke 6.0

Francisco Burzi PHP-Nuke 6.5 BETA 1

详细描述

PHP-Nuke的'Members_List'和'Your_Account'模块存在多个SQL指令注入漏洞，由于没有对用户的输入做充分的过滤而用来构造SQL查询语句，远程入侵者可以利用这个问题把恶意的数据输入到SQL的查询语句中，从而更改SQL的查询逻辑，通过恶意操作数据库控制PHP-Nuke Web系统，也可能造成其他的攻击。

测试代码

解决方案

厂商还未提供解决方案，临时解决方案是打开PHP配置文件中的'magic_quotes_gpc'选项。

webasp.net