PEAR::Auth模块多个SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1195961 漏洞类型 输入验证
发布时间 2006-02-21 更新时间 2006-03-20
CVE编号 CVE-2006-0868 CNNVD-ID CNNVD-200602-352
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://www.securityfocus.com/bid/16758
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200602-352
|漏洞详情
PEAR::Auth模块包允许使用PHP创建认证系统。PEAR::Auth模块在处理用户提交的认证数据时存在问题,远程攻击者可能利用此漏洞绕过认证。一些PEAR::Auth贮藏容器后端(具体来说是DB和LDAP认证贮藏容器)在将用户输入提交给基础认证机制之前没有执行充分的验证,这可能允许恶意用户执行SQL注入攻击,伪造认证凭据,导致非授权访问。
|受影响的产品
PEAR PEAR::Auth 1.3 r3 PEAR PEAR::Auth 1.2.3 Gentoo Linux
|参考资料

来源:BID
名称:16758
链接:http://www.securityfocus.com/bid/16758
来源:pear.php.net
链接:http://pear.php.net/package/Auth/download/1.3.0r4
来源:pear.php.net
链接:http://pear.php.net/package/Auth/download/1.2.4
来源:BUGTRAQ
名称:20060222MultipleInjectionVulnerabilitiesinPHPPEAR::AuthModule
链接:http://www.securityfocus.com/archive/1/archive/1/425796/100/0/threaded
来源:XF
名称:auth-multiple-injections(24854)
链接:http://xforce.iss.net/xforce/xfdb/24854
来源:GENTOO
名称:GLSA-200603-13
链接:http://www.gentoo.org/security/en/glsa/glsa-200603-13.xml
来源:VUPEN
名称:ADV-2006-0696
链接:http://www.frsirt.com/english/advisories/2006/0696
来源:SECTRACK
名称:1015666
链接:http://securitytracker.com/id?1015666
来源:SECUNIA
名称:19301
链接:http://secunia.com/advisories/19301
来源:SECUNIA
名称:19008
链接:http://secunia.com/advisories/19008