CiviCRM SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1165088 漏洞类型 SQL注入
发布时间 2013-10-02 更新时间 2013-10-02
CVE编号 CVE-2013-5957 CNNVD-ID CNNVD-201311-426
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://www.securityfocus.com/bid/64007
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201311-426
|漏洞详情
CiviCRM是一套专用于非营利组织、非政府组织以及公益机构的客户关系管理系统。该系统可作为组织内部的业务管理,也可作为组织的联络、沟通以及追踪志愿者或支持者的关系和状态。CiviCRM中的CRM/Core/Page/AJAX/Location.php脚本中存在SQL注入漏洞,该漏洞源于ajax/jqState和ajax/jqcountyURI没有正确过滤‘_value’参数。远程攻击者可利用该漏洞执行任意SQL命令。以下版本受到影响:CiviCRM4.2.12之前的版本,4.3.7之前的4.3.x版本,4.4.beta4之前的4.4.x版本。
|受影响的产品
WordPress CiviCRM 0 Joomla CiviCRM 0 Drupal CiviCRM 0 CiviCRM CiviCRM 4.3.6 CiviCRM CiviCRM 4.2.11 CiviCRM CiviCRM 4.4.beta3
|参考资料

来源:www.navixia.com
链接:https://www.navixia.com/company/navixia-news/395-navixia-finds-critical-vulnerability-in-civicrm.html
来源:www.navixia.com
链接:https://www.navixia.com/blog/entry/navixia-finds-critical-vulnerability-in-civicrm-cve-2013-5957.html
来源:github.com
链接:https://github.com/civicrm/civicrm-core/pull/1708.diff
来源:civicrm.org
链接:https://civicrm.org/advisory/civi-sa-2013-009-sql-injection-vulnerability