sql注入php-nuke
描述:
php-nuke是一个广为流行的网站创建和管理工具,它可以使用很多数据库软件作为后端,比如mysql、postgresql、msql、interbase、sybase等。
php-nuke的your_account模块实现上存在输入验证漏洞,远程攻击者可能利用此漏洞对服务器程序执行sql注入攻击。
php-nuke的your_account模块没有对username参数做充分的过滤检查,远程攻击者可能在此参数中插入恶意的sql命令,从而非授权获取对后台数据库的操作。
受影响系统:
php-nuke php-nuke 7.8
不受影响系统:
php-nuke php-nuke 7.9 patch 3.1
补丁下载:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://phpnuke.org/