Phorum follow.php脚本远程SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201095 漏洞类型 输入验证
发布时间 2004-11-11 更新时间 2005-10-20
CVE编号 CVE-2004-1518 CNNVD-ID CNNVD-200412-307
漏洞平台 N/A CVSS评分 4.6
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-307
|漏洞详情
Phorum是一款基于PHP的WEB论坛程序。Phorum包含的'follow.php'脚本不正确过滤用户提交的URL数据,远程攻击者可以利用这个漏洞进行SQL注入攻击。'follow.php'对"$thread"参数缺少充分过滤,攻击者提交包含恶意SQL命令的数据作为此参数数据,可更改原来的SQL逻辑,获得敏感信息,如管理员的密码HASH数据。
|参考资料

来源:XF
名称:phorum-followphp-sql-injection(18045)
链接:http://xforce.iss.net/xforce/xfdb/18045
来源:BID
名称:11660
链接:http://www.securityfocus.com/bid/11660
来源:SECUNIA
名称:13174
链接:http://secunia.com/advisories/13174
来源:BUGTRAQ
名称:20041111[waraxe-2004-SA#037-SqlinjectionbuginPhorum5.0.12andolderversions]
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110021385926870&w=2
来源:FULLDISC
名称:20041111[waraxe-2004-SA#037-SqlinjectionbuginPhorum5.0.12andolderversions]
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2004-November/028609.html
来源:NSFOCUS
名称:7107
链接:http://www.nsfocus.net/vulndb/7107