PHPProjekt可插入SQL命令漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204414 漏洞类型 输入验证
发布时间 2002-04-25 更新时间 2005-10-20
CVE编号 CVE-2002-1760 CNNVD-ID CNNVD-200212-648
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200212-648
|漏洞详情
PHPProjekt是一款免费开放源代码PHP组件程序,由PHPProjektDevelopmentTeam开发和维护,可使用在Unix和Linux操作系统下,也可使用在MicrosoftWindows操作系统下。PHPProjekt在处理用户提交给SQL查询中的数据没有进行充分正确检查,可导致攻击者进行SQL命令插入攻击。PHPProjekt中多个SQL命令需要用户提交数据,但没有对提交数据中的省略号或者引号进行过滤,可导致大部分数据可以被删除或者更改。如果系统在字符串"UPDATEtableSETname='Ulf'WHEREintTableID=$id"中使用"id"参数,攻击者可以提供"intTableID"作为"id"的值而导致系统执行"UPDATEtableSETname='Ulf'WHEREintTableID=intTableID"命令,此命令可改变所有UIF表中的名字。
|参考资料

来源:XF
名称:phprojekt-sql-injection(8945)
链接:http://xforce.iss.net/xforce/xfdb/8945
来源:BID
名称:4598
链接:http://www.securityfocus.com/bid/4598
来源:BUGTRAQ
名称:20020424PHProjektmultiplevulnerabilities
链接:http://archive.cert.uni-stuttgart.de/archive/bugtraq/2002/04/msg00361.html
来源:NSFOCUS
名称:2686
链接:http://www.nsfocus.net/vulndb/2686