PHP-Nuke Web_Links模块远程SQL注入码漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1202854 漏洞类型 输入验证
发布时间 2003-05-12 更新时间 2006-09-22
CVE编号 CVE-2003-0279 CNNVD-ID CNNVD-200306-065
漏洞平台 N/A CVSS评分 2.6
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200306-065
|漏洞详情
PHP-Nuke是一个广为流行的网站创建和管理工具,它可以使用很多数据库软件作为后端,比如MySQL、PostgreSQL、mSQL、Interbase、Sybase等。PHP-Nuke包含的Web_Links模块存在多个SQL注入问题,远程攻击者可以利用这个漏洞获得数据库敏感信息,或对数据库进行破坏。如果SQL代理允许用户使用UNION语法,就可能通过Web_Links模块拓展出数据库内部的任意信息,包括密码和个人数据,但是如果不能使用UNION语法,那攻击者就不能访问通过WEBLINK管理其他SQL表,因此只能获得一些点击率和投票信息。
|参考资料

来源:XF
名称:phpnuke-web-sql-injection(11984)
链接:http://xforce.iss.net/xforce/xfdb/11984
来源:BID
名称:7558
链接:http://www.securityfocus.com/bid/7558
来源:BUGTRAQ
名称:20030512LotofSQLinjectiononPHP-Nuke6.5(secureweblog!)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105276019312980&w=2
来源:BID
名称:7588
链接:http://www.securityfocus.com/bid/7588
来源:BUGTRAQ
名称:20030513MoreandMoreSQLinjectiononPHP-Nuke6.5.
链接:http://archives.neohapsis.com/archives/bugtraq/2003-05/0147.html